oauth2 规范中 access_token 必须要用公私钥来校验与生成吗

2021-01-04 10:27:15 +08:00
 OysterQAQ

能不提供 JwkSetEndpoint 么,因为应用内现有的 jwt 用的 hmacSha 是不分公私的,现在想集成 oauth2,在 rfc 中没搜到 jwk,倒是 oauth0 中有要求,必须要用 rsa 之类的算法

788 次点击
所在节点    问与答
3 条回复
xmumiffy
2021-01-04 10:34:52 +08:00
似乎没有找到 oauth2 access token 必须公私钥的规范
OysterQAQ
2021-01-04 10:42:52 +08:00
@xmumiffy 应该是 oauth0 的标准有要求提供 /.well-known/jwks.json 这个端点,看网上的 aouth2 授权服务器都提供了这个就让我有点混乱
DinnyXu
2021-01-08 17:57:50 +08:00
公钥和私钥一般是看算法的,如果是 RS256 非对称加密,就需要配置证书+ 公钥

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/741395

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX