Authentication 如何在不访问身份验证服务器的情况下验证OAuth2访问令牌（JWT）_Authentication_Oauth 2.0_Authorization_Jwt

Authentication 如何在不访问身份验证服务器的情况下验证OAuth2访问令牌（JWT）

authentication oauth-2.0 jwt

Authentication 如何在不访问身份验证服务器的情况下验证OAuth2访问令牌（JWT）,authentication,oauth-2.0,authorization,jwt,Authentication,Oauth 2.0,Authorization,Jwt,试图理解OAuth2中的两条腿客户端凭据方案。有些人说JWT是访问令牌的最佳格式，因为它是自包含的，资源服务器不需要验证来自授权服务器（STS）的令牌。但这是如何做到的？我认为资源服务器自身验证JWT的唯一方法是在服务器上存储一个公钥，用于验证签名。当使用JWT作为访问令牌时，资源服务器不需要调用授权服务器来验证它。实际上，资源服务器需要存储授权服务器的公钥才能这样做。获取该公钥是一个带外过程 JWT的验证包括检查签名以及对嵌入令牌中的声明的一些额外检查，例如时间戳（iat、exp、nbf）和标

试图理解OAuth2中的两条腿客户端凭据方案。有些人说JWT是访问令牌的最佳格式，因为它是自包含的，资源服务器不需要验证来自授权服务器（STS）的令牌。但这是如何做到的？我认为资源服务器自身验证JWT的唯一方法是在服务器上存储一个公钥，用于验证签名。

当使用JWT作为访问令牌时，资源服务器不需要调用授权服务器来验证它。实际上，资源服务器需要存储授权服务器的公钥才能这样做。获取该公钥是一个带外过程

JWT的验证包括检查签名以及对嵌入令牌中的声明的一些额外检查，例如时间戳（

iat

、

exp

、

nbf

）和标识符（

aud

）

与其他形式的签名数据/令牌相比，JWT的优势在于JWT是标准化和灵活的wrt。他们使用的加密技术使使用标准库来创建/验证它们成为可能，而不必编写自定义代码。

当然。我只是想澄清一下，您是否真的回答了我的问题：）那么您的意思是1）在资源服务器上使用公钥时，JWT是自包含的？因此这里没有其他“魔力”，JWT令牌内容通过公钥进行验证。2）为什么这对JWT来说很特别？您也可以在任何其他情况下使用公钥…添加了一些关于这些主题的文本