2

启用 light-4j 安全性时,需要在 config 文件夹中放置两个文件以进行 JWT 验证。primary.crt 和 secondary.crt。我想知道为什么有两个用于 JWT 验证的证书。

4

1 回答 1

1

主要和次要证书用于 OAuth 2.0 JWT 验证。这些认证应该根据签名的时间或令牌数量进行轮换。在 OAuth 2.0 提供程序上使用新证书后,所有新令牌都将由 JWT 标头子字段中指示的新证书签名。但是,由先前证书签名的旧令牌仍然有效并缓存在客户端上,并且可以发送到服务。这就是为什么我们在过渡期间有两个证书。15 分钟后(可在 OAuth 2.0 提供程序上配置),所有旧令牌都已过期,旧证书可以从配置中删除,但留在那里不会有什么坏处。如果您使用 light-oauth2 作为 OAuth 2.0 提供程序,则不要 不需要将这些证书保留在您的配置中,因为服务可以在第一次收到令牌时调用 light-oauth2 密钥分发服务来获取公钥证书。更多细节可以在https://www.networknt.com/concern/security/

于 2018-10-25T15:32:37.787 回答