JWT 令牌是否需要 IntroSpection 端点?
Is IntroSpection Endpoint needed for JWT token?
由于JWT令牌是自包含的,它可以在资源服务器本地进行验证,资源不需要将令牌发送到IdentityServer IntroSpection端点进行验证。
我检查了 IdentityServer4.AccessTokenValidation 的实现,如果 IdentityServerAuthenticationOptions 设置为支持 JWT,它会在本地验证 JWT 令牌。将 IntroSpection 端点用于 JWT 令牌的唯一方法是将 IdentityServerAuthenticationOptions 设置为仅支持引用。
是否有任何特殊情况需要将 JWT 访问令牌发送到 IntroSpection 端点?
对于本地不具备加密能力的资源服务器,是不是应该拿到reference token,而不是JWT token?
JWT 通常在资源服务器上进行本地验证。
这是一个技术细节,IdentityServer 还可以在内省端点验证 JWT。可以使用例如当资源服务器没有合适的 JWT 库时(并且您不想在 IS 端存储引用令牌)。
据我所知,内省端点可以独立使用,也可以与 JWT 一起使用。
以下是两种可能的身份验证方案:
- Only JWT:我只使用 JWT 进行身份验证。
- JWT 和内省端点:在这里,我使用 JWT 提供核心信息(如发行者信息),并使用内省端点提供更多需要额外安全级别的微调信息(如客户端信息、范围信息等) .
由于JWT令牌是自包含的,它可以在资源服务器本地进行验证,资源不需要将令牌发送到IdentityServer IntroSpection端点进行验证。
我检查了 IdentityServer4.AccessTokenValidation 的实现,如果 IdentityServerAuthenticationOptions 设置为支持 JWT,它会在本地验证 JWT 令牌。将 IntroSpection 端点用于 JWT 令牌的唯一方法是将 IdentityServerAuthenticationOptions 设置为仅支持引用。
是否有任何特殊情况需要将 JWT 访问令牌发送到 IntroSpection 端点?
对于本地不具备加密能力的资源服务器,是不是应该拿到reference token,而不是JWT token?
JWT 通常在资源服务器上进行本地验证。
这是一个技术细节,IdentityServer 还可以在内省端点验证 JWT。可以使用例如当资源服务器没有合适的 JWT 库时(并且您不想在 IS 端存储引用令牌)。
据我所知,内省端点可以独立使用,也可以与 JWT 一起使用。
以下是两种可能的身份验证方案:
- Only JWT:我只使用 JWT 进行身份验证。
- JWT 和内省端点:在这里,我使用 JWT 提供核心信息(如发行者信息),并使用内省端点提供更多需要额外安全级别的微调信息(如客户端信息、范围信息等) .