Spring OAuth2令牌验证
Spring OAuth2令牌验证
提问于 2022-10-14 15:50:04
我正在为我的公司在春季开发rest。我需要使用google OAtuh2来保护它。首先,我使用jwt令牌验证。前端应用程序获得token_id并将其传递给后端资源服务器。我读到应该使用访问令牌而不是id_tokens (对吗?)。对于使用不透明标记的内省,我需要提供内省uri。我找不到了。google auth服务器支持令牌内省吗?
回答 1
Stack Overflow用户
发布于 2022-10-15 02:34:22
是的您应该只使用访问令牌。保护对您应该只使用访问令牌。的请求ID令牌用于客户端获取用户信息。
与JWT解码相比,使用访问令牌内省具有严重的性能影响:资源服务器必须针对它处理的每个请求向授权服务器发出一个查询(当JWT验证可以通过只检索一次授权服务器公钥在本地完成时)。我告诉你你不会那么做的。
如果不能将授权服务器配置为将所需的声明添加到JWT访问令牌,则应考虑在其前面使用能够标识联合的授权服务器。在使用多个以太身份源(例如谷歌+ Facebook + Github + LinkedIn +公司LDAP )时,这样做是非常常见的,但它也适用于单个身份源。例如,Keycloak就可以这样做,并允许您在访问令牌中放置所需的任何内容。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/74071814
复制相关文章
相似问题
腾讯云开发者
