尝试了解OAuth2中的双方客户端凭据方案 . 有些人声称JWT是Access Token的优秀格式,因为它是自包含的,资源服务器不需要从授权服务器(STS)验证令牌 . 但这是怎么做到的?我看到资源服务器本身验证JWT的唯一方法是在服务器上存储公钥,用于验证签名 .
使用JWT作为访问令牌时,资源服务器不需要调用授权服务器来验证它 . 实际上,资源服务器将需要存储授权服务器的公钥来执行此操作 . 获得该公钥是一种带外过程 .
JWT的验证包括检查签名以及对令牌中嵌入的声明的一些额外检查,例如时间戳( iat , exp , nbf )和标识符( aud ) .
iat
exp
nbf
aud
与其他形式的签名数据/令牌相比,JWT的优势在于JWTS是标准化且灵活的 . 他们使用的加密技术可以使用标准库来创建/验证它们,而不必编写自定义代码 .
1 回答
使用JWT作为访问令牌时,资源服务器不需要调用授权服务器来验证它 . 实际上,资源服务器将需要存储授权服务器的公钥来执行此操作 . 获得该公钥是一种带外过程 .
JWT的验证包括检查签名以及对令牌中嵌入的声明的一些额外检查,例如时间戳(
iat,exp,nbf)和标识符(aud) .与其他形式的签名数据/令牌相比,JWT的优势在于JWTS是标准化且灵活的 . 他们使用的加密技术可以使用标准库来创建/验证它们,而不必编写自定义代码 .