那些遇到过的问题

JWT 令牌 SSO 流程

sil*_*box 5 security single-sign-on jwt

我有一个关于 JWT 的 SSO 流程的简单问题

假设我们有单独的授权服务器,它为客户端应用程序/服务器和资源服务器提供 JWT,客户端尝试使用该令牌进行访问。

在此处输入图片说明

问题是,资源服务器应该自己验证令牌(例如,与身份验证服务器共享私有证书)还是应该请求身份验证服务器为每个客户端请求验证 JWT?

roo*_*ook 4

JWT 规范在构建时就考虑到了可扩展性。JWT 设计的目的是任何受信任的应用程序都可以验证签名块。如果您关心性能,请使用 SHA-256 HMAC 并使用共享密钥在每个端点上本地验证签名。对 JWT 使用非对称签名会产生开销,但您可以将公钥存储在验证但不颁发 JWT 的端点上,然后将私钥存储在颁发令牌的中央机构上。验证和发行之间的这种关注点分离减少了代币创建过程被对手破坏的可能性(阅读:深度防御)。

如果您需要实时撤销令牌,则需要一个中央机构来验证每个令牌。这是可行的,但它违背了 JWT 设计的目的,系统最好只发布一个加密随机数作为令牌。

归档时间:

查看次数:

1283 次

最近记录:

8 年,10 月 前
相关归档
为什么不建议在同一台机器上安装数据库和Web服务器? 117
秘密网址真的安全吗? 46
OAuth - 在您的应用程序中嵌入客户端密钥? 11
即使未提供密钥,jwt.io 也会显示签名已验证 11
Keycloak:使用新的 Chrome SameSite/Secure cookie 强制执行令牌请求中缺少会话 cookie 8
非 root 用户的 docker 秘密 7
尝试了解可以通过 SetProcessMitigationPolicy 函数设置的进程缓解策略 7
读取文件与执行文件一样危险 3
如何确保我的网站不被黑客攻击? 2
Firebase 管理 sdk 无法解码 jwt 令牌 2
难疑归档
在Python中调用外部命令 4553
如何列出目录的所有文件? 3474
如何使用Curl从终端/命令行发布JSON数据到测试Spring REST? 2606
如何在TextView中水平和垂直居中文本? 1932
在Python中获取列表的最后一个元素 1871
<meta charset ="utf-8"> vs <meta http-equiv ="Content-Type"> 1499
从JS数组中删除重复值 1225
如何删除文本/输入框周围的边框(轮廓)?(铬) 1208
如何从另一个分支中获取一个文件 1154
servlet如何工作?实例化,会话,共享变量和多线程 1105