OAuth2で2足クライアントの資格情報スキームを理解しようとしています。 JWTは自己完結型でリソースサーバは認証サーバ(STS)からのトークンを検証する必要がないため、JWTはアクセストークンにとって最適なフォーマットであると言います。しかし、これはどのように行われますか?リソースサーバーがJWTを検証できる唯一の方法は、署名を検証するために使用される公開キーをサーバーに保存することです。認証サーバーにアクセスせずにOAuth2アクセストークン(JWT)を検証する方法
アクセストークンとしてJWTを使用する場合、リソースサーバーは認証のために認証サーバーを呼び出す必要はありません。確かに、リソースサーバーは、許可サーバーの公開キーを格納する必要があります。その公開鍵を取得することは帯域外プロセスです。
JWTの検証は、署名と、トークンに埋め込まれたクレームに関するいくつかの追加チェックをチェックすることから成ります。タイムスタンプ(iat、exp、nbf)および識別子(aud)を含む。
他の形式の署名付きデータ/トークンよりもJWTの利点は、JWTSが標準化され柔軟性があることです。標準のライブラリを使用してカスタムコードを記述するのではなく、それらを作成/検証することを可能にします。
私はちょうどあなたが実際に私の質問に答えているかどうかを明確にしたいと思います:)それで、あなたは、1)JWTがリソースサーバ上で公開鍵が使用されている場合に自己完結型であることを意味しますか?ここには他の「魔法」は含まれていないので、JWTトークンの内容は公開鍵を通して検証されます。 2)JWTだけに特別な理由は何ですか?あなたは他のどのケースでも公開鍵を使用することができます... – user1340582
はこれらのトピックにいくつかのテキストを追加しました –