我在节点应用中使用azure-ad-jwt来验证令牌。它如何验证令牌,它使用什么设置?我只是在使用
var aad = require('azure-ad-jwt');
aad.verify(jwtToken, null, function(err, result) {
if (result) {
console.log("JWT is valid");
} else {
console.log("JWT is invalid: " + err);
}
});
答案 0 :(得分:0)
JWT可以使用令牌颁发者和资源服务器之间共享的秘密进行签名。换句话说,使用令牌的资源服务器使用相同的秘密来验证JWT中的签名。
但这不是唯一的方法。 JWT也可以使用公钥/私钥进行签名。 Azure AD使用此方法。
azure-ad-jwt接受一个JWT,“搜寻”公钥证书,并为它找到的每个证书调用jsonwebtoken.verify()函数。每次都通过JWT和证书。这就是azure-ad-jwt如何验证JWT中的签名。