인증 서버가 oauth 액세스 토큰의 유효성을 점검해야합니다. 리소스 서버에 대한 모든 요청에 대해 인증 서버로 왕복하지 않고이 작업을 수행 할 수있는 방법이 있습니까? 나는 JWT에 대해 읽어 본 적이있다. JWT가 서명 될 수 있기 때문에 권한 서버에 가지 않고 자원 서버에 의해 검증 될 수 있어야한다. IIUC에는 oauth라는 스프링 보안으로 이것을하기위한 표준/간단한 방법이 있습니까?인증 서버에 라운드 트립하지 않고 액세스 토큰의 유효성 검사?
JWT는 인증 서버로 콜백 할 필요가 없습니다. 다음 중 하나를 사용할 수 있습니다.
1) JWT 토큰에 서명하고 유효성을 검사하는 클라이언트 비밀 키. 비밀 키는 인증 서버와 앱 모두에 저장됩니다.
2) 또는 JWK와 같은 개인/공개 키를 사용하여 토큰에 서명하고 유효성을 검사하는 것이 좋습니다. 비공개 키는 애플리케이션의 인증 서버 측과 공개 토큰에 저장됩니다. 선택적으로 권한 서버에서 공용 키를 가져 와서 캐시하고 일정 기간 후에 새로 고칠 수 있습니다. 자세한 내용은 https://github.com/spring-projects/spring-security-oauth/blob/master/spring-security-oauth2/src/main/java/org/springframework/security/oauth2/provider/token/store/jwk/JwkTokenStore.java을 참조하십시오.