Fatal编程技术网
  • jwt/
  • 如何验证Thinktecture identity server颁发的JWT令牌?

如何验证Thinktecture identity server颁发的JWT令牌?

jwt

如何验证Thinktecture identity server颁发的JWT令牌?,jwt,thinktecture-ident-server,Jwt,Thinktecture Ident Server,当OAuth客户端从identity server获取JWT令牌时,是否有任何方法可以确定 我担心当用户获取access_令牌并尝试使用base64对其进行解码时,用户可以修改令牌字符串 我的设想是: 我有两个门户网站A和B,它们都集成了Thinktecture identity server。 用户A只能使用“role:portalA”声明访问门户A,但无法访问门户B 如果用户A尝试登录门户A并获取访问令牌,则用户A将“role:portalB”添加到访问令牌中,然后再次使用base64编码。

当OAuth客户端从identity server获取JWT令牌时,是否有任何方法可以确定

我担心当用户获取access_令牌并尝试使用base64对其进行解码时,用户可以修改令牌字符串

我的设想是: 我有两个门户网站A和B,它们都集成了Thinktecture identity server。 用户A只能使用“role:portalA”声明访问门户A,但无法访问门户B 如果用户A尝试登录门户A并获取访问令牌,则用户A将“role:portalB”添加到访问令牌中,然后再次使用base64编码。
然后修改后的访问令牌传递到门户B,我担心用户A可以访问门户B。因此我必须再次检查对Identity server的访问令牌。这是验证此访问令牌的任何方法吗?或者这种情况不会发生?

我相信Thinktecture Identity Server在(baseurl+“/core/accessTokenValidation?token=“+access\u token”)上有一个端点

例如:

GET request to: http://localhost:3333/core/accessTokenValidation?token=aEdhoi23hlv2khdf2lkhfv4pv....
如果访问令牌有效,它应该返回200响应,否则它将返回JSON错误消息{“error”:“invalid_token”}和4XX响应

您应该连接对此服务的调用以验证令牌,然后缓存响应

看看源代码:

ThinktectureIdentityServer3有不同的端点

官方文件中的更多细节:

例如:

GET /connect/accesstokenvalidation?token=<token>

GET/connect/accesstokenvalidation?令牌=
成功响应将返回状态代码200以及令牌的相关声明。 不成功的响应将返回带有错误消息的400