春の起動時に `security.oauth2.resource.jwk.key-set-uri`を設定するときに期待される動作

Question

春の起動時にResource serverを設定すると、アクセストークンが設定される場合、security.oauth2.resource.jwk.key-set-uriプロパティを設定するオプションがあります。 JWTであり、発行者はクライアントがJWK形式での検証のために公開RSAキーを取得するためのエンドポイントを提供します。

このJWKからキーストアを開始するには、どのような動作が必要ですか？プロパティはResourceServerProperties.JWKにロードされていますが、その後は何がロードされています。春の起動時にこのURIを呼び出し、jwksを取得して、私が検証に使用するストアを作成する必要がありますか？

は、私は、キーストアの設定http://www.baeldung.com/spring-security-oauth-jwt

@Bean 
    public JwtAccessTokenConverter accessTokenConverter() { 
     JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); 
     Resource resource = new ClassPathResource("public.txt"); 
     String publicKey = null; 
     try { 
      publicKey = IOUtils.toString(resource.getInputStream()); 
     } catch (final IOException e) { 
      throw new RuntimeException(e); 
     } 
     converter.setVerifierKey(publicKey); 
     return converter; 
    } 

しかし、その代わりに、私はjwkからそれをロードしたいと思います.pem公開鍵をロードする設定にこのチュートリアルを次しています。

Answer 1

この実装の主な目的は、対応するJWK（JSON WEB TOKEN KEY SET）を使用してローカルにJWTを検証することです。照合に使用されるJWKは、JWTの子供ヘッダーパラメーターとJWKの子供属性を使用して照合されます。

サーバーは、ネットワーク要求やデータベースとのやりとりなどを行うことなく、このトークンをローカルで検証できます。これにより、要求ごとにデータベース（またはキャッシュ）からユーザーをロードする必要がなくなるため、ちょっとしたローカルコードを実行するだけです。おそらく、JWTを使用する人々にとっては、ステートレスです。