WSO2 Idenity Server - 如何验证 JWT 格式的 OIDC Bearer Token
WSO2 Idenity Server - How to validate an OIDC Bearer Token in JWT Format
在提供基于 REST/JSON 的 API 服务的辅助服务器上验证 JSON Web 令牌 (jwt) id-token 的推荐解决方案是什么。对于设计也要考虑性能方面:
- 验证 jwt 中包含的可信颁发者和签名,如
以及它的到期时间(检查 "nbf" 到 "exp" window),避免重复查找 WSO2
国内流离失所者?
- 要提交 jwt(或访问令牌)并将其发送给 IdP 在每个 API 请求时进行重新验证?
- 要通过使用非对称算法添加加密层 (JWE) 并使用共享 public 密钥 (RSA) 来提高安全性?
- 其他验证方式?
我会选择选项 #1。 IE。按照 [1]
中指定的方式验证可信发行人的签名和其他验证
如果我们选择选项 #2,我们将如何验证验证后收到的响应?如果我们使用签名或加密,那么就浪费了额外的调用。
#1 和#3 的组合是理想的。但这肯定会对性能产生影响。
[1] http://openid.net/specs/openid-connect-core-1_0.html#IDTokenValidation
在提供基于 REST/JSON 的 API 服务的辅助服务器上验证 JSON Web 令牌 (jwt) id-token 的推荐解决方案是什么。对于设计也要考虑性能方面:
- 验证 jwt 中包含的可信颁发者和签名,如 以及它的到期时间(检查 "nbf" 到 "exp" window),避免重复查找 WSO2 国内流离失所者?
- 要提交 jwt(或访问令牌)并将其发送给 IdP 在每个 API 请求时进行重新验证?
- 要通过使用非对称算法添加加密层 (JWE) 并使用共享 public 密钥 (RSA) 来提高安全性?
- 其他验证方式?
我会选择选项 #1。 IE。按照 [1]
中指定的方式验证可信发行人的签名和其他验证如果我们选择选项 #2,我们将如何验证验证后收到的响应?如果我们使用签名或加密,那么就浪费了额外的调用。
#1 和#3 的组合是理想的。但这肯定会对性能产生影响。
[1] http://openid.net/specs/openid-connect-core-1_0.html#IDTokenValidation