验证密钥斗篷令牌的最低要求是什么?
what is the minium requirement to verify keycloak token?
用户登录到 Keycloak。他们生成一个 jwt 访问令牌。用户将此令牌提供给使用 Keycloak 保护的服务。
服务必须在令牌中验证什么以确保令牌有效?
token的有效期和发行人是我目前正在验证的token的两个方面。还需要什么?还有哪些其他令牌验证可提供更好的安全性?
通常访问令牌包含多个声明。仅验证到期时间和发行者不足以确保服务安全。
您必须通过身份提供商验证令牌的签名。您还可以检查观众声明(正在访问该服务的第 3 方应用程序)是否也有效。您始终可以向您的服务独有的令牌添加自定义声明,以便您可以验证它们以确定令牌是否有效。
此外,您可以使用访问令牌调用身份提供者的内省端点来检查令牌是否处于活动状态(是否已被使用)。
用户登录到 Keycloak。他们生成一个 jwt 访问令牌。用户将此令牌提供给使用 Keycloak 保护的服务。
服务必须在令牌中验证什么以确保令牌有效?
token的有效期和发行人是我目前正在验证的token的两个方面。还需要什么?还有哪些其他令牌验证可提供更好的安全性?
通常访问令牌包含多个声明。仅验证到期时间和发行者不足以确保服务安全。
您必须通过身份提供商验证令牌的签名。您还可以检查观众声明(正在访问该服务的第 3 方应用程序)是否也有效。您始终可以向您的服务独有的令牌添加自定义声明,以便您可以验证它们以确定令牌是否有效。
此外,您可以使用访问令牌调用身份提供者的内省端点来检查令牌是否处于活动状态(是否已被使用)。