WSO2 Idenity Server - 如何以JWT格式验证OIDC承载令牌

Question

在提供基于REST / JSON的API服务的辅助服务器上验证JSON Web令牌（jwt）id-token的建议解决方案是什么？对于设计，还要考虑性能方面：

• 验证jwt中包含的受信任颁发者和签名，如 它的到期时间（检查“nbf”到“exp”窗口），避免在WSO2上重复查找 的IdP？
• 提交jwt（或访问令牌），将其发送给IdP，在每个API请求中进行重新验证？
• 通过添加带有非对称算法的加密层（JWE）和使用共享公钥（RSA）来提高安全性？
• 其他验证方法？

Answer 1

我会选择＃1选项。即。验证[1]

中指定的受信任颁发者的签名和其他验证

如果我们选择＃2选项，我们如何验证验证后收到的响应？如果我们使用签名或加密，则会浪费额外的电话。

＃1和＃3的组合将是理想的。但这肯定会对绩效产生影响。

[1] http://openid.net/specs/openid-connect-core-1_0.html#IDTokenValidation