用户登录Keycloak。它们生成一个jwt访问令牌。用户将此令牌提供给由Keycloak保护的服务。
服务必须在令牌中验证哪些内容以确保令牌有效?
令牌和发行者的到期日期是我当前正在验证的令牌的两个方面。还需要什么?还有哪些令牌验证可以提供更好的安全性?
答案 0 :(得分:0)
通常,访问令牌包含多个声明。仅验证到期时间和发行者就不足以确保服务的安全。
您必须通过身份提供者验证令牌的签名。您还可以检查受众声明(正在访问该服务的第三方应用程序)是否也有效。您始终可以向服务添加唯一的令牌自定义声明,以便您可以验证它们以确定令牌是否有效。
此外,您可以使用访问令牌调用身份提供者的自省端点,以检查该令牌是否处于活动状态(是否已经使用过)。