尝试了解OAuth2中的双方客户端凭据方案。有些人声称JWT是Access Token的优秀格式,因为它是自包含的,资源服务器不需要从授权服务器(STS)验证令牌。但这是怎么做到的?我看到资源服务器本身验证JWT的唯一方法是在服务器上存储一个公钥,用于验证签名。
答案 0 :(得分:1)
使用JWT作为访问令牌时,资源服务器不需要调用授权服务器来验证它。实际上,资源服务器将需要存储授权服务器的公钥来执行此操作。获取该公钥是一种带外过程。
JWT的验证包括检查签名以及对令牌中嵌入的声明的一些额外检查,例如时间戳(iat,exp,nbf)和标识符(aud)。
JWT相对于其他形式的签名数据/令牌的优势在于JWTS是标准化且灵活的。他们使用的加密技术可以使用标准库来创建/验证它们,而不必编写自定义代码。