Question

Пользователь входит в Keycloak. Они генерируют токен доступа jwt. Пользователь предоставляет этот токен службе, защищенной с помощью Keycloak.

Что должна проверить служба в токене, чтобы убедиться, что токен действителен?

Дата истечения срока действия токена и эмитента - это два аспекта токена, который я сейчас проверяю. Что еще требуется? Какие еще проверки токенов обеспечивают лучшую безопасность?

RakihthaRR · Answer 1 · 14 ноября 2018

Обычно токены доступа содержат несколько утверждений. Проверка срока действия и эмитента не будет достаточной для обеспечения безопасности сервиса.

Вы должны проверить подпись токена через провайдера идентификации. Вы также можете проверить, действительно ли утверждение аудитории (стороннее приложение, которое обращается к услуге). Вы всегда можете добавить в токен пользовательские утверждения, уникальные для вашей службы, чтобы вы могли проверить их, чтобы определить, является ли токен действительным или нет.

Кроме того, вы можете вызвать конечную точку самоанализа провайдера идентификации с токеном доступа, чтобы проверить, активен ли токен (был ли он уже использован).

какое минимальное требование для проверки токена Keycloak?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

какое минимальное требование для проверки токена Keycloak?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы