如何保存jwk？

Question

我希望这不是一个天真的问题，但是当您从.well-known/jwks.json域获取jwk时，应该如何保存它。

目前，我硬编码了模数和指数，但这似乎不是一个很好的解决方案。

将其添加到数据库中似乎毫无意义，因为这将是一个不合理的调用，因为e&n值不会改变。

在缓存中存储似乎是最好的解决方案之一。

为每个请求调用.well-known/jwks.json似乎也是没有必要的。

其他人的做法是什么呢？

Answer 1

通过get调用获得的密钥集的存储应该依赖于HTTP头，尤其是cache-control指令。如果设置了no-cache或no-store，则不应保存密钥集并在需要使用它时获取它。

通常，您会有一个max-age指令(例如，请参阅key set from Google)。我建议您遵守该指令，并将键集存储在您的应用程序缓存中。

我不确定在这里使用DB是否相关；缓存存储通常比DB存储更有效。