如果JWT缺少一个issuer字段,我希望回退到jwk-uri或jwk-key-set,我需要在Spring oauth2库中覆盖什么,因为在缺少issuer时失败是Spring的默认行为。另一种方法是检测缺失的issuer字段,并在该字段中注入一个字符串,如emptyIssuer......然后我可以在应用程序属性中定义适当的issuer。
emptyIssuer
wrrgggsh1#
对于Sping Boot ,只定义spring.security.oauth2.resourceserver.jwt.jwk-set-uri属性(而不是spring.security.oauth2.resourceserver.jwt.issuer-uri)。JWK集足以让解码器验证JWT签名。如果设置了spring.security.oauth2.resourceserver.jwt.issuer-uri,则
spring.security.oauth2.resourceserver.jwt.jwk-set-uri
spring.security.oauth2.resourceserver.jwt.issuer-uri
iss
issuer-uri
jwk-set-uri
1条答案
按热度按时间wrrgggsh1#
对于Sping Boot ,只定义
spring.security.oauth2.resourceserver.jwt.jwk-set-uri
属性(而不是spring.security.oauth2.resourceserver.jwt.issuer-uri
)。JWK集足以让解码器验证JWT签名。
如果设置了
spring.security.oauth2.resourceserver.jwt.issuer-uri
,则iss
声明issuer-uri
推断jwk-set-uri
(当授权服务器符合OIDC时, Bootstrap 成功)