在提供基于REST / JSON的API服务的辅助服务器上验证JSON Web令牌(jwt)id-token的建议解决方案是什么?对于设计,还要考虑性能方面:
答案 0 :(得分:0)
我会选择#1选项。即。验证[1]
中指定的受信任颁发者的签名和其他验证如果我们选择#2选项,我们如何验证验证后收到的响应?如果我们使用签名或加密,则会浪费额外的电话。
#1和#3的组合将是理想的。但这肯定会对绩效产生影响。
[1] http://openid.net/specs/openid-connect-core-1_0.html#IDTokenValidation