azure-ad-jwt它如何验证令牌

Question

我在节点应用程序中使用azure-ad-jwt来验证令牌。它如何验证令牌，它使用什么设置？我只是简单地使用

var aad = require('azure-ad-jwt'); 
aad.verify(jwtToken, null, function(err, result) { 
if (result) { 
     console.log("JWT is valid"); 
} else { 
     console.log("JWT is invalid: " + err); 
} 
}); 

Answer 1

智威汤逊可以使用在令牌发行者和资源服务器之间共享的秘密进行签名。换句话说，使用令牌的资源服务器使用相同的密钥来验证JWT中的签名。

但这不是唯一的方法。智威汤逊也可以使用公钥/私钥进行签名。 Azure AD使用此方法。

azure-ad-jwt采用JWT，“追捕”公钥证书，并为其找到的每个证书调用jsonwebtoken.verify（）函数。每次通过JWT和证书。这就是azure-ad-jwt可以如何验证JWT中的签名。