我正在开发一个身份验证系统,该系统具有访问和刷新令牌以及JWT和JWKS。我的问题是我不知道JWKS的功能是什么。在使用JWT以及刷新令牌和访问令牌的身份验证系统中,JWKS的功能是什么?这个系统中的公钥和私钥是什么?JWKS需要连接到数据库吗?
您的意思是JWKS还是JWKS endpoint?
JWKS是JSON Web密钥集——一种用于共享公钥的JSON表示法,用于验证签名JWT的签名。
JWKS endpoint是授权服务器公开的端点,您可以从中获得JWKS。
当您需要处理JWT的内容时(例如,您有一个API接收JWT并需要执行授权决策(,您应该验证签名。为了验证它,您需要一个公钥,该公钥对应于授权服务器用于签署JWT的私钥。这个公钥可以通过不同的方式获得(例如,您可以在API中对其进行硬编码(,从JWKS endpoint获得它是一种有效的方式。如果您可以选择从JWKS endpoint读取公钥,我建议您使用它——这大大简化了系统中的密钥管理。每当需要旋转密钥时,只需在授权服务器中更改即可。如果您不控制授权服务器,那么它尤其有用,这样您就根本不必担心密钥的旋转。
你可以看看这个免费课程的第二部分:OpenID Connect in Details(需要电子邮件注册(。JWKS主题包含在其中。