Validazione JWT

Nel caso in cui il token sia di tipo JWT (quindi JWE o JWS), questa opzione attiva la validazione basata su tale standard (Fig. 400).

../../../_images/ValidazioneJWT.png

Fig. 400 Dati di configurazione della validazione JWT

I dati da inserire sono:

  • Formato Token: indica il formato atteso del payload contenuto nel token JWT. Maggiori dettagli sul mapping vengono forniti in “Formati dei token”. I valori possibili sono:

  • Header: presente solo in caso di token di tipo JWS, consente di abilitare una validazione dei valori dei claim “typ”, “cty” o “alg” presenti nell’header.

    ../../../_images/ValidazioneJWTHeader.png

    Fig. 401 Dati di configurazione della validazione di un header JWS

  • TrustStore: I parametri di configurazione del truststore da utilizzare per il servizio di validazione. Nella configurazione proposta per default il certificato utilizzato per validare il token sarà quello presente all’interno del truststore, corrispondente all’identificativo indicato nel campo “Alias Certificato”. In alternativa il certificato è ottenibile tramite le informazioni presenti nel token jwt (x5c, x5t, x5u) attraverso la modalità indicata nel campo “Riferimento X.509”. Un certificato ottenuto tramite le informazioni presenti nel token jwt viene sempre validato rispetto al truststore e possono essere abilitati ulteriori criteri di verifica tramite CRL o Policy OCSP (vedi sezione Online Certificate Status Protocol (OCSP)).