...
Het token introspection endpoint voert de validatie van het te valideren JWT token uit in de volgende stappen:
- De token JWT token wordt uitgepakt zonder validatie.
- In het iss (Issuer) veld wordt de client_id van de ondertekende applicatie verwacht.
- De applicatie wordt op basis van de client_id in de domeinconfiguratie opgezocht. Deze bevat een URL voor het JWKS endpoint of de waarde van de publieke sleutel.
- Indien er een JWKS endpoint wordt gebruikt, wordt deze bevraagd, de header van de JWT moet een Key ID (kid) bevatten. Een publieke sleutel met de Key ID van het JWT token moet voorkomen in het JWKS bestand.
- De JWT token wordt gevalideerd met de publieke sleutel, tevens wordt de validatie volgens de JWT standaard validatie uitgevoerd. Daaronder valt:
- De check op de jti (JWT ID).
- De check op de verwachte aud (Audience).
- De exp (Expiration Time) en nbf (Not Before) velden.
...