解析jwt令牌时需要澄清

Question

授权服务器公开JWKS端点。这样任何人都可以访问JWKS端点。JWKS端点包含构建public-key的详细信息，然后可以用来验证签名和提取数据。

那么，在这种情况下，

1. 任何客户端都可以访问jwk并验证签名。
2. 这个流程中的私钥在哪里？它在OAuth服务器上吗？

Answer 1

这两个问题的答案都是肯定的。只有授权服务器才能创建令牌(使用私钥)，然后任何应用程序都可以验证它们。

JWT通常由API进行验证，其工作流如下：

• 解码JWT并从它的头读取header字段
• 下载JWKS密钥并找到与接收到的令牌中的孩子匹配的密钥--这个值通常是出于性能原因而缓存的。
• 然后验证JWT，检查它的签名，过期，发行者和受众都是安全的
• 然后在令牌中信任声明和作用域，并使用它们进行授权。

有关示例实现，请参阅此示例NodeJS代码，其中建议使用安全库。