oauthアクセストークンの有効性は、認証サーバーによって確認されなければなりません。リソースサーバーへの要求ごとに承認サーバーへの往復をせずにこれを行う方法はありますか?私はJWTについて少し読んだことがあります。JWTに署名できるので、認証サーバーに行くことなくリソースサーバーで検証できるはずです。 IIUCには、春のセキュリティoauthでこれを行うためのいくつかの標準的な/簡単な方法はありますか?認証サーバーへのラウンドトリップを行わずにアクセストークンの有効性を確認していますか?
JWTでは、認証サーバーにコールバックする必要はありません。
1)JWTトークンに署名して検証するためのクライアント秘密鍵。秘密鍵は、認証サーバーとアプリケーションの両方に格納されます。
2)または、JWKのようなプライベート/パブリックキーを使用して、トークンに署名して検証することをお勧めします。秘密鍵は、アプリケーションの認証サーバー側と公開トークンに格納されます。必要に応じて、認可サーバーから公開鍵を取得してキャッシュし、一定期間後にリフレッシュすることができます。詳細はhttps://github.com/spring-projects/spring-security-oauth/blob/master/spring-security-oauth2/src/main/java/org/springframework/security/oauth2/provider/token/store/jwk/JwkTokenStore.javaを参照してください。