我开发了一个受Azure AD保护的asp.net web应用程序。OpenId connect owin中间件负责验证来自Azure AD的JWT令牌。OpenId connect owing软件如何实际验证令牌?正如我所理解的JWT,发送方(生成JWT的服务器(和接收方(使用JWT的应用程序(都需要共享一个秘密,但这是什么秘密?我看不出我向欧文提供了什么秘密?我甚至看到了Javascript的例子,其中JWT令牌是用Javascript验证的,这怎么能工作呢,Javascript不能保守任何秘密。
Open ID Connect服务器使用私钥签署令牌。客户端使用通过公共元数据端点提供的公钥验证令牌签名。没有共同的秘密。
对于Azure AD阅读获取OpenID Connect元数据文档
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium