Express Gateway - 远程身份验证服务器的 JWT 验证策略 checkCredentialExistence
Express Gateway - JWT Verification policy checkCredentialExistence for remote auth server
我使用快速网关作为 API 具有以下设置的网关中间件。
- Express 网关仅作为网关。
- 我的身份验证(用户数据库)服务器位于不同的位置,我将所有登录请求路由到身份验证服务器以获取 jwt。
- 多个资源服务器在 Express 网关后面。这不会授权或验证任何请求。 所有传入请求都被视为已通过身份验证
我已将 EG 配置设置为验证 JWT 并仅传递具有正确 JWT 的请求。因为网关本身的授权checkCredentialExistence。
问题
当用户发送注销请求时,我从身份验证服务器撤销访问和刷新令牌。但是,revoked JWT 令牌仍然是有效令牌。并且网关继续通过已撤销的 jwt 传递传入请求。
有没有办法通过远程 api 检查 JWT 在 Express 网关中是否仍然有效?
jwt 访问令牌是一种自签名令牌,无法撤销它,您可以为此 senario 使用参考令牌
我使用快速网关作为 API 具有以下设置的网关中间件。
- Express 网关仅作为网关。
- 我的身份验证(用户数据库)服务器位于不同的位置,我将所有登录请求路由到身份验证服务器以获取 jwt。
- 多个资源服务器在 Express 网关后面。这不会授权或验证任何请求。 所有传入请求都被视为已通过身份验证
我已将 EG 配置设置为验证 JWT 并仅传递具有正确 JWT 的请求。因为网关本身的授权checkCredentialExistence。
问题
当用户发送注销请求时,我从身份验证服务器撤销访问和刷新令牌。但是,revoked JWT 令牌仍然是有效令牌。并且网关继续通过已撤销的 jwt 传递传入请求。
有没有办法通过远程 api 检查 JWT 在 Express 网关中是否仍然有效?
jwt 访问令牌是一种自签名令牌,无法撤销它,您可以为此 senario 使用参考令牌