OAuth2で2足クライアントの資格情報スキームを理解しようとしています。 JWTは自己完結型でリソースサーバは認証サーバ(STS)からのトークンを検証する必要がないため、JWTはアクセストークンにとって最適なフォーマットであると言います。しかし、これはどのように行われますか?リソースサーバーがJWTを検証できる唯一の方法は、署名を検証するために使用される公開キーをサーバーに保存することです。認証サーバーにアクセスせずにOAuth2アクセストークン(JWT)を検証する方法
0
A
答えて
0
アクセストークンとしてJWTを使用する場合、リソースサーバーは認証のために認証サーバーを呼び出す必要はありません。確かに、リソースサーバーは、許可サーバーの公開キーを格納する必要があります。その公開鍵を取得することは帯域外プロセスです。
JWTの検証は、署名と、トークンに埋め込まれたクレームに関するいくつかの追加チェックをチェックすることから成ります。タイムスタンプ(iat
、exp
、nbf
)および識別子(aud
)を含む。
他の形式の署名付きデータ/トークンよりもJWTの利点は、JWTSが標準化され柔軟性があることです。標準のライブラリを使用してカスタムコードを記述するのではなく、それらを作成/検証することを可能にします。
関連する問題
- 1. ステートレス.NET JWTベースのoauth2認証サーバー
- 2. リソース/アプリケーションサーバーのユーザーを認証するために認証サーバーのOauth2アクセストークンを使用する方法
- 3. oAuth2 JWTトークン検証プロセス
- 4. フラスコJWT - アクセス/認証
- 5. 既存のjhipsterプロジェクトをJWT認証からOAuth2認証に変更する
- 6. 認証サーバーの外部でJWTを確認する方法
- 7. 認証:サーバー側のFacebookユーザーのアクセストークンの検証?
- 8. Spring OAuth2 + JWT、外部アクセストークンをローカルユーザーにマップする方法
- 9. JWTを使用するSpring oAuth2と異なる認証サーバーとリソースサーバー
- 10. スプリングブートセキュリティ、サーバーへのJWT認証サーバー
- 11. 香港0.10.x - JWT認証は香港文書にアクセストークン
- 12. SpringブートOAuth2 2ステップログインの認証サーバー
- 13. OAuth2リソースサーバーと認証サーバーの接続
- 14. Spring - oauth2 - リフレッシュとアクセストークンの認証コードを交換します
- 15. jwtサーバサイド認証
- 16. JWT認証
- 17. エラー検証アクセストークン
- 18. マルチテナントシステムでJWTと外部認証サーバーを使用するNginx認証
- 19. OAuth2でWSO2認証サーバーを設定して認証チャレンジページをスキップする方法は?
- 20. ページのフォームを検証せずにユーザーコントロールフォームを検証する
- 21. firebaseに対する認証トークンを検証する方法は?
- 22. azure-ad-jwtトークンの検証方法
- 23. トラストストアに証明書をプログラムで追加し、それをサーバー認証の検証にも使用する方法
- 24. websocketリクエスト中にJWTを検証する方法。 .net core
- 25. Google認証のアクセストークン
- 26. ServiceStack OAuth2モバイルネイティブ認証
- 27. OAuth2認証jsクライアント
- 28. セッションレス認証のためのOAuth2アクセストークンの保存
- 29. バインディングターゲットを更新せずに値を検証する方法は?
- 30. クライアントを登録せずにAzureAD(OAuth2)に対して認証しますか?
私はちょうどあなたが実際に私の質問に答えているかどうかを明確にしたいと思います:)それで、あなたは、1)JWTがリソースサーバ上で公開鍵が使用されている場合に自己完結型であることを意味しますか?ここには他の「魔法」は含まれていないので、JWTトークンの内容は公開鍵を通して検証されます。 2)JWTだけに特別な理由は何ですか?あなたは他のどのケースでも公開鍵を使用することができます... – user1340582
はこれらのトピックにいくつかのテキストを追加しました –