кто отвечает за проверку токена jwt?

Question

когда клиент запрашивает ресурс с помощью jwt-токена, первый ресурс должен проверить токен. В простом сценарии сервер ресурсов проверяет себя. Но бывают случаи, когда oauth-сервер вызывается для проверки токена.

Итак, мой вопрос: почему oauth-сервер может быть вызван для проверки токена?

Answer 1

Все зависит от того, как вы используете проверочный токен. Методы, используемые для проверки токена

---

1. Самоанализ

Это метод получения актуальной информации о токене через специальную конечную точку непосредственно с сервера авторизации. Информация о токене обычно включает в себя тип токена, статус (активный или нет), пользователя, идентификатор клиента, доступные области OAuth2 и время истечения. Метод требует прямого взаимодействия с сервером авторизации для каждой проверки токена. Обладает высокой безопасностью, но низкой производительностью.

Проверка токена по подписи (только для токенов JWT).

Это метод, когда токен проверяется в соответствии с его криптографической сигнатурой c и вся необходимая информация о токене получена от сам знак. Это означает, что действительность токена проверяется без взаимодействия с сервером авторизации, и если токен был отозван до истечения срока его действия, мы никогда не узнаем об этом. Таким образом, этот метод быстрый, но менее безопасный, чем самоанализ.

Подробнее о проверке токена можно узнать на https://dzone.com/articles/oauth2-tips-token-validation