azure-ad-jwtトークンの検証方法

Question

ノードアプリケーションでazure-ad-jwtを使用してトークンを検証しています。トークンの検証はどのように行われ、どのような設定が使用されますか？私は単純に使用しています

var aad = require('azure-ad-jwt'); 
aad.verify(jwtToken, null, function(err, result) { 
if (result) { 
     console.log("JWT is valid"); 
} else { 
     console.log("JWT is invalid: " + err); 
} 
}); 

Answer 1

JWTは、トークン発行者とリソースサーバーの間で共有される秘密で署名できます。言い換えれば、トークンを消費するリソースサーバは、JWT内の署名を検証するために同じ秘密を使用します。

しかしこれだけではありません。 JWTは、公開鍵/秘密鍵を使用して署名することもできます。 Azure ADはこの方法を使用します。

azure-ad-jwtはJWTを取得し、公開鍵証明書を「捜し落とし」、発見した証明書ごとにjsonwebtoken.verify（）関数を呼び出します。毎回、それはJWTと証明書を渡します。これは、azure-ad-jwtがJWTの署名を検証する方法です。