authentication - 身份服务器如何在 API 或我们使用 Authorize 属性时验证 token ？

Question

我使用身份服务器 4 作为身份提供者。

获取成功登录的 token 后，我们将此 token 传递给资源服务器。

我的问题是资源服务器端的身份服务器提供者如何验证提交的 token ？

当我使用 fiddler 观察流量时，我没有看到任何将 token 提交给提供商进行检查的请求。

这意味着资源服务器端的 Identity Server 提供者本身正在验证 token ？

那么为什么我们需要在没有检查权限的情况下提供权限呢？

资源端的身份服务器提供者如何确保它是由有效的 token 提供者发出的？

Answer 1

JWT tokens是独立的，不需要往返来验证它们在每次使用时仍然有效......只要它们没有过期，它们就是有效的，前提是它们没有被篡改 只涉及签名检查。

您可以设置您的客户端以请求 reference tokens (并设置您的 API 以接受它们)，以及这些 token 将 每次使用时都涉及往返。然后您就可以撤销 token ，而 JWT 则无法做到这一点。