最近、アクセストークンとしてJSON Webトークン(JWT)を使用してOAuth2.0サーバーを実装しようとしています。私はJWTの自己完結型の特徴について非常に混乱しています。私はJWTが自己完結型であるため、認可サーバーではなく、どこでも検証できることに気付きました。この機能はどのように機能しますか?自己完結型の機能を実現するには、JWTにどのような主張を含める必要がありますか?認証サーバーの外部でJWTを確認する方法
もう1つの質問は、JWTがステートレスである場合、サーバーがJWTを格納すべきでないことを意味します。それでは、JWTはどのように検証されていますか?簡単に偽造できないのですか?
私はこの分野では新人だけど、私は誰かが私を助けることができることを望む:)
ありがとうございました!私はこのプロセスをはっきりと理解しています。私は別の質問があります、満期はトークンの漏れの損失を減らすための唯一の方法ですか?トークンがモバイルデバイスに格納されていると、悪意のあるアプリケーションによってトークンが簡単に盗まれる可能性があります。そうですか? – LuCima
はい、盗まれる可能性がありますが、トークンが期限切れになった場合はもう使用できません。だから短い生涯をお勧めします。 –
ありがとう、私は今JWTをよく知っています。 – LuCima