[英]JWT token SSO flow
JWT規范在構建時考慮了可擴展性。 JWT設計的目的是任何受信任的應用程序都可以驗證簽名塊。 如果您關心性能,請使用SHA-256 HMAC並使用共享密鑰在每個端點上本地驗證簽名。 對JWT使用非對稱簽名會產生開銷,但是您可以將公鑰存儲在驗證但不頒發JWT的端點上,然后將中心權限上的私鑰存儲在頒發令牌的私鑰上。 驗證和發布之間的這種關注分離降低了對手可以破壞令牌創建過程的可能性(閱讀:縱深防御)。
如果您需要實時撤銷令牌,則需要一個驗證每個令牌的中央權限。 這是有效的,但是它違背了JWT設計的目的,並且系統最好只發出一個cryptogrpahic nonce作為令牌。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.