启用light-4j安全性时,有两个文件需要位于配置文件夹中以进行JWT验证。 primary.crt 和 secondary.crt.我想知道为什么有两个证书用于 JWT 验证。
主证书和辅助证书用于OAuth 2.0 JWT验证。这些认证应该根据签名的时间或代币数量进行轮换。在 OAuth 2.0 提供程序上使用新证书后,所有新令牌都将由 JWT 标头 kid 字段中指示的新证书签名。但是,由以前的证书签名的旧令牌仍然有效,并缓存在客户端上,并且可以发送到服务。这就是为什么我们在过渡期间有两个证书。15 分钟后(可在 OAuth 2.0 提供程序上配置(,所有旧令牌都将过期,旧证书可以从配置中删除,但保留在那里不会有什么坏处。如果使用 light-oauth2 作为 OAuth 2.0 提供程序,则无需将这些证书保留在配置中,因为服务可以调用 light-oauth2 密钥分发服务,以便在首次收到令牌时获取公钥证书。更多详情请见 https://www.networknt.com/concern/security/