1回答

MM们

有多种方法可以验证 OAuth2 JWT。基本上它总是相同的过程：JWT由发行人签名，签名稍后从/为收件人（在您的情况下）进行验证。的JWT可以签署不对称（由发行人的私人密钥和用于验证的合适的证书）或对称的（用于签名和验证相同的密钥）。自行验证一种方法是JWT自行验证（在您的应用程序代码中），但为此您需要拥有密钥或公共证书。您可以在特定库的帮助下完成此操作（请参阅此处）。受信任的第三方验证另一种方法是让JWT受信任的第三方为您验证。这可以在特定端点的帮助下完成，就像您建议的那样/oauth/check_token（请参阅此处）。不同身份提供者的端点 url 可能有所不同。此解决方案的优点是您不必在应用程序代码中实现验证逻辑，也不必拥有用于验证的密钥/证书。一个很大的缺点显然是，每次JWT验证都有一个额外的调用。

0 0

0