代码之家  ›  专栏  ›  技术社区  ›  André C. Andersen

从Auth0对JSON Web密钥集(JWKS)进行服务器端(python3/flask)缓存一分钟左右安全吗?

auth0 jwt flask python-3.x
  •  3
  • André C. Andersen  · 技术社区  · 7 年前

    我去拿 JWKS 从…起 https://X.auth0.com/.well-known/jwks.json 服务器端。我想知道将它们缓存几分钟是否安全,因为不断地用GET阻塞端点似乎是浪费。

    我正在使用flask,并计划通过做一些简单的事情来缓存它,例如: 

    @cache.cached(timeout=60, key_prefix='auth0/%s')
def get_jwks():
    return requests.get("https://" + AUTH0_DOMAIN + "/.well-known/jwks.json").json()

    其余的实现在很大程度上受到了 auth0 tutorial .

    缓存机制来自库 flask_caching ,表示:

    您可以将此装饰器用于任何 通过更改 key_prefix

    1 回复  |  直到 7 年前
        1
  •  3
  •   pedrofb    7 年前

    JWKS是一个Auth0概念。它包含用于验证已发行令牌签名的公钥集

    在最基本的级别上,JWKS是一组包含公钥的密钥,这些公钥应用于验证授权服务器发出的任何JWT。

    公钥可以安全发布。它只会在生成新密钥对时更改。我不知道更新钥匙的过程是怎样的:手动还是自动。但你可以完美地缓存它。如果原因是公钥不正确,请确保在验证失败后下载公钥

    推荐文章
    Joh  ·  如何检查JWT设置refreshToken的有效性
    2 年前
    Chizaram Igolo  ·  建议使用Express应用程序吗。是否在异步回调中使用()方法调用?
    2 年前
    Dansih  ·  .Net核心自定义身份验证方案
    2 年前
    Dylan Nina  ·  使用JWT触发Google云函数
    2 年前
    Bhagiyaraj  ·  何塞。例外情况。JWSError:无效的头字符串:“utf-8”编解码器无法解码位置1中的字节0xc7:无效的延续字节
    2 年前
    Someone  ·  如何使用fetch发送cookie并修复404 post错误?
    2 年前
    Willians Martins  ·  如何使用sed、grep或awk获取唯一令牌?
    2 年前
    TRUSTMEIMJEDI  ·  支持jwt的angular视频播放器
    2 年前
    José Salgado vittore  ·  ASP。NET Core 6 JWT承载令牌异常
    2 年前
    Sourabh Banka  ·  无法自动加载常量jwt黑名单,应为/主页/sourabh/开发/庆祝/应用程序/型号/jwt\U黑名单。rb定义它(LoadError)
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号