oauth2:是否建议在每个请求中缓存用于验证JWT令牌的公钥?

k97glaaz  于 2023-01-20  发布在  其他
关注(0)|答案(1)|浏览(154)

在每次请求时保留用于验证每个JWT令牌的公钥副本以避免每次都从授权服务器获取它,这是一种常见/有用的实践吗?
在使用SpringSecurity时,它是一个可用的选项吗?或者是否存在公钥的隐式缓存?

pcww981p

pcww981p1#

出于性能原因,保留从JWKsURI提取的JWK副本并使用缓存副本是一种常见的做法,也是非常有用的。
事实上,JWK规范已经以这样一种方式设置,它通过添加kid(或:密钥标识符)对JWK和令牌的声明。
每当签名密钥被更新/翻转时,发送方将更新JWK中的kid和签名的令牌,使得接收方将注意到新的kid该高速缓存中还不可用,从而再次从JWK URI拉取更新的JWK。

相关问题