在 REST 中验证 jwt 令牌 api
Validating jwt token in REST api
我对 REST api 完成的 jwt 令牌验证有疑问,无法找到简单的 yes/no 答案。假设一切都通过 HTTPS 传输。
我有以下设置
- React 应用程序
- 休息 API
- 处理用户的 AWS Cognito registration/login
当用户想要登录时,React 应用程序将调用 AWS Cognito api 并验证凭据。如果有效,Cognito 将发回一个可以传递给 REST API 的 jwt 令牌(将包含必要的元数据)。现在我看到两个选项
- 后端使用 rfc 规范验证 jwt 令牌未被更改。如果有效,api 提取必要的元数据并继续处理请求
- 后端验证 jwt 令牌的有效性,同时调用 Cognito 服务来验证令牌中的元数据。
我认为,由于一切都是通过 HTTPS 处理的,而且它很难创建有效令牌,所以第一点就足够了。无需通过线路进行额外呼叫。我错了吗?
从 softwareengineering.stackexchange.com 中找到了以下问题,它几乎回答了我的问题。 Link
当使用非对称加密创建令牌时,JWT 令牌的本地验证就足够了。
我对 REST api 完成的 jwt 令牌验证有疑问,无法找到简单的 yes/no 答案。假设一切都通过 HTTPS 传输。 我有以下设置
- React 应用程序
- 休息 API
- 处理用户的 AWS Cognito registration/login
当用户想要登录时,React 应用程序将调用 AWS Cognito api 并验证凭据。如果有效,Cognito 将发回一个可以传递给 REST API 的 jwt 令牌(将包含必要的元数据)。现在我看到两个选项
- 后端使用 rfc 规范验证 jwt 令牌未被更改。如果有效,api 提取必要的元数据并继续处理请求
- 后端验证 jwt 令牌的有效性,同时调用 Cognito 服务来验证令牌中的元数据。
我认为,由于一切都是通过 HTTPS 处理的,而且它很难创建有效令牌,所以第一点就足够了。无需通过线路进行额外呼叫。我错了吗?
从 softwareengineering.stackexchange.com 中找到了以下问题,它几乎回答了我的问题。 Link
当使用非对称加密创建令牌时,JWT 令牌的本地验证就足够了。