2017-10-18 9 views
0

Étant donné que le jeton JWT est autonome, il peut être validé localement dans le serveur de ressources et la ressource n'a pas besoin d'envoyer le jeton au noeud final IntroSpection d'IdentityServer pour validation.Le point de terminaison IntroSpection est-il nécessaire pour le jeton JWT?

Je vérifie l'implémentation du IdentityServer4.AccessTokenValidation, il valide le jeton JWT localement si IdentityServerAuthenticationOptions est configuré pour supporter JWT. La seule façon d'utiliser le point de terminaison IntroSpection pour le jeton JWT est de définir IdentityServerAuthenticationOptions pour prendre en charge uniquement la référence.

Y a-t-il un cas particulier qui doit envoyer le jeton d'accès JWT au point de terminaison IntroSpection?

Pour le serveur de ressources qui n'a pas les capacités cryptographiques localement, devrait-il avoir le jeton de référence, au lieu du jeton JWT? Les JWT sont typiquement validés localement sur le serveur de ressources.

Répondre

1

C'est un détail technique qu'IserityServer peut également valider des JWT au point d'introspection. Cela pourrait être utilisé par exemple. lorsque le serveur de ressources n'a pas de bibliothèque JWT appropriée (et que vous ne souhaitez pas stocker de jetons de référence du côté SI).