OpenID

標籤 (共 1 篇文章)

[OpenID] 使用 RS256 與 JWKS 驗證 JWT token 有效性

使用 JWT token 來進行身份認證已經是現在開發上的顯學了,常見的服務如 Microsoft 等透過 OAuth 2.0 登入後,有會拿到一組 JWT 格式的 access token,我們可以透過這個 token 去呼叫相關的 API 來取得想要得資料,但除了把 access token 丟給 API 外,我們有沒有其他方是可以驗證這個 token 是否有效呢?

如果服務使用 RS256 對 token 簽章,且有跟著 OpenID 的規範走的話,是有一套完整在 client 端就可以自行驗證的流程的,這篇文章就來說明一下所有相關的技術,同時實際拿個 token 來驗證看看!

繼續閱讀