JWT令牌是否需要IntroSpection端点？

Question

由于JWT令牌是自包含的，因此可以在资源服务器中本地验证它，并且资源不需要将令牌发送到IdentityServer IntroSpection端点进行验证。

我检查IdentityServer4.AccessTokenValidation的实现，如果IdentityServerAuthenticationOptions被设置为支持JWT，它会在本地验证JWT令牌。为JWT令牌使用IntroSpection端点的唯一方法是将IdentityServerAuthenticationOptions设置为仅支持引用。

是否有特殊情况需要将JWT访问令牌发送到IntroSpection端点？

对于本地没有加密能力的资源服务器，它应该得到引用令牌而不是JWT令牌吗？

Answer 1

JWT通常在资源服务器上进行本地验证。

这是一个技术细节，IdentityServer还可以在内省端点验证JWT。例如，当资源服务器没有适当的JWT库时(并且您不希望在IS端存储引用令牌)，就可以使用它。

Answer 2

据我所知，内省端点可以独立使用，也可以与JWT一起使用。

以下是两种可能的身份验证方案：

• 只有JWT:我只使用JWT进行身份验证。
• JWT和内省端点:在这里，我使用JWT来提供核心信息(比如发行者信息)，使用内省端点提供更精细的调优信息，这需要额外的安全级别(比如客户机信息、作用域信息等等)。