JWT是否真的解决了在我的后端使用中央身份验证服务的问题?

时间:2019-05-07 06:54:48

标签: authentication jwt

我在多个页面上阅读到JWT应该解决以下问题:我需要一个集中的Auth服务来获取参考令牌等(例如http://alexander.holbreich.org/jwt/)。这是因为可以在服务器群集或微服务的每个单个节点上检查JSON Web令牌的签名。

但是,这引起了一个问题,所有这些实例都需要一个共享机密来验证签名。我为某种签名的对称加密使用了共享密钥,或者对签名使用了非对称加密。但是,如果我正确看到它,那么我再次需要一个中央Auth服务,该服务持有用于非对称加密的私钥,并且我的每个节点都必须在此单个服务上验证签名。我的设计思路是否存在缺陷,或者JWT的特殊成就是什么?

0 个答案:

没有答案