首先,如果这个问题不适合 Stackoverflow,我们深表歉意。这是设计/最佳实践问题,而不是编程问题。
安全堆栈交换是否适合这个问题?
JWKS URI 提供公钥,以便消费者可以验证 Auth Server 发布的 JWT 的签名。
通常,JWKS URI 是公开的(即面向 Internet 以便外部各方可以访问和下载密钥)。它们通常在 1way TLS(https - 允许客户端验证服务器证书)上公开。
如果我们托管一个内部 JWKS URI,以便我们的内部应用程序可以从该端点获取其密钥,我们是否可以继续为此端点使用单向 TLS,或者为 JWKS 引入双向 TLS (mTLS) 是否有任何价值URI 端点。
我没有看到将 mTLS 用于 JWKS URI 端点的价值,但是我看到一些供应商产品为其 JWKS 端点启用了 mTLS。
无法看到使用 mTLS 的价值。在这个领域是否有行业最佳实践或指导。我在我的谷歌搜索中找不到一个。