Oauth 2.0 JWT令牌是否需要内省端点?
由于JWT令牌是自包含的,因此可以在资源服务器中对其进行本地验证,资源无需将令牌发送到IdentityServer内省端点进行验证 我检查了的实现,如果IdentityServerAuthenticationOptions设置为支持JWT,它将在本地验证JWT令牌。为JWT令牌使用内省端点的唯一方法是将IdentityServerAuthenticationOptions设置为仅支持引用 是否有任何特殊情况需要将JWT访问令牌发送到内省端点Oauth 2.0 JWT令牌是否需要内省端点?,oauth-2.0,identityserver4,Oauth 2.0,Identityserver4,由于JWT令牌是自包含的,因此可以在资源服务器中对其进行本地验证,资源无需将令牌发送到IdentityServer内省端点进行验证 我检查了的实现,如果IdentityServerAuthenticationOptions设置为支持JWT,它将在本地验证JWT令牌。为JWT令牌使用内省端点的唯一方法是将IdentityServerAuthenticationOptions设置为仅支持引用 是否有任何特殊情况需要将JWT访问令牌发送到内省端点 对于本地不具有加密功能的资源服务器,是否应该获得参考令
对于本地不具有加密功能的资源服务器,是否应该获得参考令牌而不是JWT令牌?JWT通常在资源服务器上本地验证
这是一个技术细节,IdentityServer还可以在内省端点验证JWT。例如,当资源服务器没有适当的JWT库(并且您不想在IS端存储引用令牌)时,可以使用该方法。据我所知,内省端点可以单独使用,也可以与JWT一起使用 以下是两种可能的身份验证方案:
- 仅JWT:我只使用JWT进行身份验证李>
- JWT和内省端点:这里我使用JWT提供核心信息(如发卡机构信息),内省端点提供更精细的信息,这需要额外的安全级别(如客户端信息、范围信息等)李>