Netlify Identity 是让用户注册您的网站的一种简单方法,但是是否可以在另一个站点(例如作为站点后端的 API 服务器(上验证 JWT 令牌的签名?换句话说,是否可以获取公钥或设置机密来验证令牌签名?
Netlify Identity 使用 HS256,因此只有一个共享密钥,而不是具有公钥/私钥的 RS256。签名密钥尚无法通过我们的 API 获得(尽管我们应该添加它!但是您可以联系支持人员以获取它。您可以在自己的 API 中使用它,以在您自己的后端验证我们的 JWT。
编辑: 虽然是这种情况,但出于安全原因,我们目前不建议共享签名机密。更好的选择是使用签名的代理重定向向您自己的后端服务器发出安全请求。使用此功能,我们将使用有效期仅为 5 分钟的短期令牌对后端的请求进行签名。它更安全,不会共享您的身份签名机密。您可以在 https://www.netlify.com/docs/redirects/#signed-proxy-redirects 阅读有关签名代理重定向的更多信息