在每次请求时保留用于验证每个JWT令牌的公钥副本以避免每次都从授权服务器获取它,这是一种常见/有用的实践吗?在使用SpringSecurity时,它是一个可用的选项吗?或者是否存在公钥的隐式缓存?
pcww981p1#
出于性能原因,保留从JWKsURI提取的JWK副本并使用缓存副本是一种常见的做法,也是非常有用的。事实上,JWK规范已经以这样一种方式设置,它通过添加kid(或:密钥标识符)对JWK和令牌的声明。每当签名密钥被更新/翻转时,发送方将更新JWK中的kid和签名的令牌,使得接收方将注意到新的kid该高速缓存中还不可用,从而再次从JWK URI拉取更新的JWK。
kid
1条答案
按热度按时间pcww981p1#
出于性能原因,保留从JWKsURI提取的JWK副本并使用缓存副本是一种常见的做法,也是非常有用的。
事实上,JWK规范已经以这样一种方式设置,它通过添加
kid(或:密钥标识符)对JWK和令牌的声明。每当签名密钥被更新/翻转时,发送方将更新JWK中的
kid和签名的令牌,使得接收方将注意到新的kid该高速缓存中还不可用,从而再次从JWK URI拉取更新的JWK。