UAA 是 怎麼驗證 Access Token 的有效性的呢,
此文主要是描述 Access Token 中的 rev_sig claim的作用。這個字段在refresh token和id token中都有,主要目的是用來判斷client的信息和user的信息有沒有變化。
Revocation Signature - token revocation hash salted with at least client ID and client secret, and optionally various user values.
此字段的生成規則如下
xxxxxcodexxxxx
在refresh token時,會對此字段進行判斷,
在check token 和 使用 token調用其他 的接口時,UaaTokenServices 會使用TokenValidationService 驗證此字段。
以保證token 持有的client 信息和user信息沒被修改過,從而保證token的完整性。
token 中 Revocation Signature 是用來保證token完整性的一部分。
雖然不知道爲什麼叫 Revocation Signature 。