3
我对智威汤逊JWT令牌SSO流
比方说,我们有单独的授权服务器,它提供了智威汤逊的客户端应用程序/服务器和资源服务器,SSO流一个简单的问题,其中客户端尝试与访问令牌。
的问题是,应该通过自身(例如份额Auth服务器专用证书)资源服务器验证令牌或应其要求验证服务器验证JWT为每个客户端的请求?
A
回答
3
JWT specification是考虑到可扩展性而构建的。 JWT设计的目的是任何可信的应用程序都可以验证签名块。如果您关心性能,请使用SHA-256 HMAC并使用共享密钥在每个端点上本地验证签名。对JWT使用非对称签名会产生开销,但是您可以将公钥存储在验证但不颁发JWT的端点上,然后将颁发令牌的中央权威机构上的私钥存储。验证和发布之间这种关注的分离减少了令牌创建过程可能被攻击者破坏的可能性(阅读:纵深防御)。
如果您需要实时吊销令牌,那么需要一个验证每个令牌的中央权威机构。这是有效的,但是它破坏了JWT设计的目的,并且系统最好只发布一个加密的随机数作为标记。
相关问题
- 1. 从JWT令牌
- 2. 处理JWT和刷新令牌流
- 3. Json Web令牌JWT
- 4. JWT令牌共享
- 5. 在Laravel上使用JWT刷新令牌的流程流明
- 6. Symfony2中的JWT令牌
- 7. Firebase php-jwt令牌刷新
- 8. JWT令牌无效签名
- 9. JWT令牌与jQuery Ajax
- 10. Android facebook sso - 无效令牌
- 11. 角度 - 刷新jwt令牌
- 12. JWT令牌和Owin认证
- 13. jwt令牌多租户
- 14. 护照JWT令牌到期
- 15. WSO2IS JWT访问令牌
- 16. Spring Oauth JWT - 刷新令牌
- 17. 如何从JWT令牌
- 18. JWT刷新令牌[Laravel 5.2]
- 19. 通过JWT令牌授权
- 20. NodeJS JWT令牌验证
- 21. JSON Web令牌(JWT)安全
- 22. 验证jwt令牌[rsa]
- 23. JWT令牌无法在
- 24. JWT令牌如何工作?
- 25. 获取DRF-jwt令牌
- 26. 春季安全令牌JWT
- 27. SAPUI5和登录令牌/ SSO?
- 28. AWS Cognito JWT令牌验证
- 29. 如何使用流明刷新jwt中的令牌?
- 30. JWT认证令牌在流明注销后不会失效5.4