由于JWT令牌是自包含的,因此可以在资源服务器中本地验证它,并且资源不需要将令牌发送到IdentityServer IntroSpection端点进行验证。
我检查IdentityServer4.AccessTokenValidation的实现,如果IdentityServerAuthenticationOptions设置为支持JWT,它会在本地验证JWT令牌。将IntroSpection端点用于JWT令牌的唯一方法是将IdentityServerAuthenticationOptions设置为仅支持引用。
是否有任何特殊情况需要将JWT访问令牌发送到IntroSpection端点?
对于本地没有加密功能的资源服务器,是否应该有引用令牌而不是JWT令牌?
答案 0 :(得分:1)
JWT通常在资源服务器上进行本地验证。
IdentityServer还可以在内省端点验证JWT,这是一个技术细节。这可以用于例如当资源服务器没有适当的JWT库时(并且您不希望在IS端存储引用令牌)。
答案 1 :(得分:0)
据我所知,自省端点可以独立使用,也可以与JWT一起使用。
这是两种可能的身份验证方案: