启用light-4j安全性时,需要在config文件夹中包含两个文件以进行JWT验证。 primary.crt和secondary.crt。我想知道为什么有两个用于JWT验证的证书。
答案 0 :(得分:1)
主要和辅助证书用于OAuth 2.0 JWT验证。这些证书应该根据签署的令牌的时间或数量进行轮换。在OAuth 2.0提供程序上使用新证书后,所有新令牌将由新证书签名,该新证书将在JWT标头kid字段中指示。但是,由以前的证书签名的旧令牌仍然有效,并已缓存在客户端上,可以发送给服务。这就是为什么我们在过渡期间拥有两个证书的原因。 15分钟后(可在OAuth 2.0提供程序上配置),所有旧令牌均已过期,可以从配置中删除旧证书,但离开此处不会有任何伤害。如果您将light-oauth2用作OAuth 2.0提供程序,则无需将这些证书保留在您的配置中,因为服务可以在第一次收到令牌时调用light-oauth2密钥分发服务以获取公钥证书。更多详细信息,请访问https://www.networknt.com/concern/security/