JWT声明验证AWS ALB返回403访问被拒绝

Question

根据https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-authenticate-users.html#user-claims-encoding的说法，验证AWS ALB的JWT声明很简单，只需调用https://public-keys.auth.elb.$region.amazonaws.com/$key-id，但由于某些原因，总是会给出一个403Access Denied -error。该区域被设置为与ALB相同，并且$key-id取自JWT报头(kid)。无论是从AWS网络内部呼叫还是从本地计算机呼叫都没有区别。

ALB配置为使用Okta OIDC进行身份验证，然后转发到内部EC2/EKS盒。JWT有效负载是正确的。是什么导致了403？

Answer 1

AWS似乎不支持在eu-north-1区域进行JWT验证。在其他地方工作得很好。

Answer 2

您在Okta使用的是组织授权服务器还是自定义授权服务器？(有关Okta授权服务器的更多信息，here)由org授权服务器创建的JWT无法在本地验证。See this documentation