如何在nimbus jose jwt中使RemoteJWKSet的缓存失效
我们正在利用nimbus jose jwt中的第三方库进行基于JWKS端点的jwt验证 使用RemoteJWKSet,我们可以从远程端点检索JWK,检索到的JWK集将被缓存以最小化网络调用。 此外,它还能够在远程服务器上处理密钥旋转,因为每当密钥选择器尝试获取具有未知KID的密钥时,缓存都会更新 我的问题是,假设由于安全原因,从远程JWKS端点删除了一个特定的密钥集。但是,当我们得到一个使用移除的密钥签名的JWT时,它仍然有效,因为该密钥集在缓存中可用。RemoteJWKSet只会在它得到一个具有未知KID的令牌时更新缓存如何在nimbus jose jwt中使RemoteJWKSet的缓存失效,jwt,nimbus,jwk,jose,Jwt,Nimbus,Jwk,Jose,我们正在利用nimbus jose jwt中的第三方库进行基于JWKS端点的jwt验证 使用RemoteJWKSet,我们可以从远程端点检索JWK,检索到的JWK集将被缓存以最小化网络调用。 此外,它还能够在远程服务器上处理密钥旋转,因为每当密钥选择器尝试获取具有未知KID的密钥时,缓存都会更新 我的问题是,假设由于安全原因,从远程JWKS端点删除了一个特定的密钥集。但是,当我们得到一个使用移除的密钥签名的JWT时,它仍然有效,因为该密钥集在缓存中可用。RemoteJWKSet只会在它得到一个具
我需要知道,如果需要,是否有任何可能的方法使RemoteJWKSet中缓存的JWK集无效,而不是重新启动服务器?在connect2id支持门户[1]中提出了同样的问题 他们建议放置一个空JWK集,这将导致RemoteJWKSet在下次调用时从URL重新加载密钥集,作为使JWKS缓存无效的机制 [1]