Java 在不往返到授权服务器的情况下检查访问令牌的有效性?
对于oauth,授权服务器必须检查访问令牌的有效性。是否有一种方法可以做到这一点,而不必为每个到资源服务器的请求往返到授权服务器?我已经读了一些关于JWT的书,它看起来像是,既然JWT可以被签名,那么它应该能够被资源服务器验证,而不必去授权服务器?IIUC使用spring security oauth是否有一些标准/简单的方法可以做到这一点?JWT不需要回调授权服务器。您可以使用: 1) 用于签名和验证JWT令牌的客户端密钥。密钥将同时存储在授权服务器和应用程序中 2) 或者更倾向于使用私钥/公钥(如JWK)对令牌进行签名和验证。私钥将存储在授权服务器端,并在应用程序中存储公共令牌。您可以选择从授权服务器获取公钥,缓存它并在一段时间后刷新。有关更多信息,请参阅Java 在不往返到授权服务器的情况下检查访问令牌的有效性?,java,oauth,jwt,spring-cloud,spring-security-oauth2,Java,Oauth,Jwt,Spring Cloud,Spring Security Oauth2,对于oauth,授权服务器必须检查访问令牌的有效性。是否有一种方法可以做到这一点,而不必为每个到资源服务器的请求往返到授权服务器?我已经读了一些关于JWT的书,它看起来像是,既然JWT可以被签名,那么它应该能够被资源服务器验证,而不必去授权服务器?IIUC使用spring security oauth是否有一些标准/简单的方法可以做到这一点?JWT不需要回调授权服务器。您可以使用: 1) 用于签名和验证JWT令牌的客户端密钥。密钥将同时存储在授权服务器和应用程序中 2) 或者更倾向于使用私钥/公