Hou*_* Lu 4 self-contained jwt
最近,我尝试使用 JSON Web Token (JWT) 作为访问令牌来实现 OAuth2.0 服务器。我对 JWT 的独立功能感到非常困惑。我注意到 JWT 可以在任何地方进行验证,而不是强制在授权服务器中进行验证,因为它是独立的。这个功能是如何工作的?JWT 中应包含哪些声明才能实现自包含功能?
另一个问题是,如果 JWT 是无状态的,则意味着服务器不应该存储 JWT。那么JWT是如何验证的呢?难道就不能轻易伪造吗?
我是这个领域的菜鸟,希望有人能帮助我:)
JWT 包含可以签名、加密或两者兼而有之的声明。这些操作是使用加密密钥执行的。密钥可以是对称的(例如octet 密钥),也可以是非对称的(例如私钥/公钥对,例如RSA或EC密钥)。
当你想验证一个JWT(即JWS)时,你必须执行以下步骤:
exp, iat, nbf, aud)。要检查签名,您需要密钥,并且根据算法,该密钥可以是
当您希望允许第三方应用程序验证您的 JWT 时,您将使用非对称密钥并与第三方共享公钥。由于公钥无法用于签名,因此第三方无法使用自定义声明伪造有效令牌。
共享密钥的方式取决于您。常见的方法是提供应用程序检索它们的 URL(例如https://www.googleapis.com/oauth2/v3/certs处的 Google 密钥)。
| 归档时间: |
|
| 查看次数: |
1855 次 |
| 最近记录: |