我想知道AddAuthentication身份功能中发生了什么。
>如何验证请求的AccessToken对此请求是否有效?此函数将调用Accesstoken创建的身份服务器并检查此accesstoken仅在特定服务器中创建吗?答案 0 :(得分:0)
简而言之,JWT验证由几个部分组成:
协议要求检查发行人(创建令牌的人)和受众(可以接受令牌的人)以及有效时间间隔
签名验证包括与身份提供者进行交谈以获取其公共密钥,以及验证令牌的加密部分。签名保证曾经创建的令牌之后不会被更改。签名不是加密,这就是为什么需要SSL来提供隐私。
所有步骤通过后,任何自定义行为(例如基于声明的策略检查)都可以发生。
有关其他信息,请直接阅读specifications或来源。
以上所有都是关于JWT的信息,完全由身份服务器提供并处理的引用令牌。使用 reference 时,验证过程在Identityserver端进行。但是,验证结果可以由客户端缓存。