validation - JWT 的验证如何区分令牌类型之间的差异?
问题描述
我正在构建一个自定义 Oauth2/OpenID 库,并且正在考虑验证令牌。
我只对所有令牌类型(访问、刷新和 ID)使用 JWT,但我在想;资源服务器将如何验证 ex。访问令牌,并确保仅接受来自发行者的访问令牌,而不是刷新或 ID 令牌,因为它们也是有效的,因此它们来自同一个受信任的发行者?
同样,如何确保通过刷新授权发送的令牌不仅仅是一个有效的访问令牌,因为它也将被验证......
我知道一个简单的解决方法就是提出一个自定义声明,描述它是什么类型的令牌,或者为每个令牌使用不同的签名,但是有没有“正确”的方法呢?
解决方案
推荐阅读
- json - DRF 嵌套对象序列化和创建
- html - 如何仅使用 css 裁剪图像并保留 justify-content
- spring-data-jpa - Spring Data Native Query 对空字符串 @Param 使用 VARBINARY
- javascript - AJAX 将 JS 变量发送到 PHP OK 但接收的 PHP 没有回显到网页
- django - Django Channels 在 asyncio.sleep 期间无法接收事件?
- java - JavaFx 和绑定 XYChart.Series
- javascript - 我很难找到全局对象“窗口”的 __proto__
- python - 我想在单独的列中读取 .dat 文件,然后将其保存为 .csv 文件
- c++ - 在 MFC 中重绘形状
- string - 如果字符串不为空,则格式化字符串