CAS 服务器发布的 JWT 令牌的实时时间
Livetime for JWT tokens issued by CAS Server
登录后CAS好像可以颁发JWT Token:
https://apereo.github.io/cas/5.1.x/installation/Configure-ServiceTicket-JWT.html
关于此功能我有两个问题:
- 可以为 JWT 令牌配置有效时间(过期)吗?
- 是否可以在后端刷新此类令牌(使用刷新令牌)?
生成的 JWT 的到期时间由作为验证事件的一部分返回的断言的长度控制。如果未指定断言有效长度,则过期时间由定义为 CAS 服务器的 SSO 过期策略的一部分的 SSO 会话的长度控制。
不是 OpenID Connect
请记住,您只是收到 JWT 形式的票证,因此您的客户端无需验证普通服务票证。票证由 CAS 内部验证,作为客户端的您只负责验证 JWT 本身。不要将它与 OpenID Connect 混淆。而JWT,token本身不是ID token,不能刷新,过期必须重新获取。如果您需要更多,请考虑改用 OpenID Connect 协议。
登录后CAS好像可以颁发JWT Token: https://apereo.github.io/cas/5.1.x/installation/Configure-ServiceTicket-JWT.html
关于此功能我有两个问题:
- 可以为 JWT 令牌配置有效时间(过期)吗?
- 是否可以在后端刷新此类令牌(使用刷新令牌)?
生成的 JWT 的到期时间由作为验证事件的一部分返回的断言的长度控制。如果未指定断言有效长度,则过期时间由定义为 CAS 服务器的 SSO 过期策略的一部分的 SSO 会话的长度控制。
不是 OpenID Connect
请记住,您只是收到 JWT 形式的票证,因此您的客户端无需验证普通服务票证。票证由 CAS 内部验证,作为客户端的您只负责验证 JWT 本身。不要将它与 OpenID Connect 混淆。而JWT,token本身不是ID token,不能刷新,过期必须重新获取。如果您需要更多,请考虑改用 OpenID Connect 协议。