我正在尝试在python应用程序中测试我的服务器端对认知JWT令牌的处理。我正在使用Moto创建一个认知用户池,在池中创建一个用户,对用户进行身份验证,然后返回一个JWT。这一切工作正常,直到我想验证JWT,以便它可以用来访问服务器上的东西。
验证JWT的正常过程的一部分是从cognito用户池下载公共JWK文件,并使用它来验证令牌的签名。似乎没有下载JWK文件的Moto实现,那么如何验证使用Moto生成的令牌呢?
Moto有测试令牌合法性的测试-并参考存储库中的jwks.json文件。
:
path = "../../moto/cognitoidp/resources/jwks-public.json"
您可以使用此文件验证您的令牌(由moto生成)吗?但我还没想好怎么做。我注意到有这个公共文件(用于验证)和一个私有文件(我猜是在生成令牌时使用的)。