そして、それらが「独自フォーマット」であることはどういう意味ですか?JWTリフレッシュトークンについて読んでいますが、それらは不透明なトークンですが、用語がわかりません。
そして、それらが「独自フォーマット」であることはどういう意味ですか?JWTリフレッシュトークンについて読んでいますが、それらは不透明なトークンですが、用語がわかりません。
回答:
A JWTは、あなたが例えば見ることができるよう、読み込み可能なコンテンツを持っているhttps://jwt.io/。誰もがトークンをデコードして、その中の情報を読み取ることができます。形式はRFC 7519に文書化されています。
不透明なトークン一方では、あなたが読むことを意図したものではない形式を持っています。発行者だけがフォーマットを知っています。
単語の意味はすでにヒントを与えています:
不透明/ə(ʊ)ˈpeɪk /形容詞
透けて見えません。透明ではありません。
https://auth0.com/docs/tokensからの引用は次のとおりです。
不透明なトークン:通常、サーバーの永続ストレージ内の情報への識別子を含む独自の形式のトークン。不透明なトークンを検証するには、トークンの受信者が、トークンを発行したサーバーを呼び出す必要があります。
「不透明なJWTリフレッシュトークン」は、上記の定義と矛盾します。ここで実際に意味するのは、一部のJWTフレームワークでは認証トークンのみがJWTですが、リフレッシュトークンとしては不透明トークンを使用するということです。
ここで、「不透明」という用語は、文字列(トークンとして機能)が参照(OOPの場合)、ポインター(Cの場合)、または外部キー(リレーショナルDBの場合)のようなものであることを意味します。つまり、それを解決するには外部コンテンツが必要です。
シンプルとコンポジット:
文字列は「単純」な文字列であり、JWSは「複合」です。「内部」にパーツがあります。
内側と外側:
この文字列の「外部」にある外部サーバーやストレージを参照せずに、ペイロード(クレームなどを含む)をそこから抽出できます。
不透明なトークンは単純な文字列であるため、単なる参照であり、当然、その形式はそれを発行するサーバーによって完全に任意に決定されます(したがって、「独自形式」という用語です)。トークン文字列は、基になる(参照される)コンテンツの作成時に、つまり、このトークンが(参照または外部キーとして)参照するコンテンツとペアになる(関連付けられる)ときに決定されます。