为什么在light-4j中有用于JWT验证的主证书和次证书

Question

在启用light-4j安全性时，配置文件夹中需要有两个文件用于JWT验证。primary.crt和secondary.crt。我想知道为什么会有两个用于JWT验证的证书。

Answer 1

主证书和辅助证书用于OAuth 2.0JWT验证。这些证书应该根据签署的令牌的时间或数量进行轮换。一旦在JWT2.0提供程序上使用了新证书，所有新令牌都将由OAuth标头kid字段中指示的新证书签名。但是，有一些由以前的证书签名的旧令牌仍然有效，并缓存在客户端上，可以发送到服务。这就是为什么我们在过渡期间有两个证书的原因。15分钟后(可在OAuth 2.0提供商上配置)，所有旧令牌都过期了，旧证书可以从配置中删除，但离开那里并没有什么坏处。如果您使用LightOAuth2作为OAuth 2.0提供程序，则不需要在配置中保留这些证书，因为服务可以在第一次接收令牌时调用light-OAUT2密钥分发服务来获取公钥证书。欲了解更多详情，请访问https://www.networknt.com/concern/security/。