WSO2 Idenity-Server - Überprüfen eines OIDC-Bearer-Tokens im JWT-Format

Question

Welche Lösung wird empfohlen, um ein JSON-Token für Web-Token (jwt) auf einem sekundären Server zu validieren, der REST/JSON-basierte API-Services bereitstellt. Für Design auch Performance-Aspekte berücksichtigen:

• Um die vertrauenswürdigen Emittenten und Unterschrift enthielten in der jwt, wie auch dessen Ablauf (Check „NBF“ auf „exp“ Fenster), Vermeidung von wiederholten Abfragen an dem WSO2 zu validieren IdP?
• Um das JWT (oder Zugriffstoken) zu senden, das an den IdP gesendet wird, wird bei jeder API-Anfrage eine Revalidierung durchgeführt?
• Um die Sicherheit durch Hinzufügen einer Verschlüsselungsschicht (JWE) mit einem asymmetrischen Algorithmus und Verwendung eines gemeinsamen öffentlichen Schlüssels (RSA) zu verbessern?
• Andere Validierungsmethoden?

Answer 1

Ich würde für Option # 1 gehen. dh. Überprüfen Sie die Signatur des vertrauenswürdigen Ausstellers und andere Validierungen wie in [1]

angegeben. Wenn wir für Option 2 gehen, wie werden wir die nach der Validierung erhaltene Antwort validieren? Wenn wir Signatur oder Verschlüsselung verwenden, ist es eine Verschwendung eines zusätzlichen Anrufs.

Eine Kombination von # 1 und # 3 wäre ideal. Aber das hätte sicherlich Auswirkungen auf die Leistung.

[1] http://openid.net/specs/openid-connect-core-1_0.html#IDTokenValidation