1. 兩種主流驗證機制
2. JWT權杖驗證
3. OIDC內省端點
4. 關係與選擇：權衡的藝術
5. 如何選擇？應用場景策略
6. 總結與感謝

在 OAuth 2.0 / OIDC 的世界中，保護 API 資源的第一步，就是驗證客戶端帶來的「通行證」(Access Token) 是否有效。

方法：驗證一張「自證身份」的智慧卡

• 簽章驗證 (Signature): 使用授權伺服器的公鑰，確認卡片未被偽造或竄改。
• 宣告驗證 (Claims): 檢查卡片上的印刷資訊是否合規。
  • iss (簽發者): 是不是官方發的卡？
  • aud (接收者): 這張卡是給我的嗎？
  • exp (過期時間): 卡片過期了沒有？

// JWT 結構: Header.Payload.Signature
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImlhdCI6MTUxNjIzOTAyMn0.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
                    

方法：打電話回總部確認通行證狀態

• 發送請求：資源伺服器拿著權杖，向授權伺服器的 /introspect 端點發起請求。
• 伺服器驗證：授權伺服器在中央資料庫中查詢權杖的即時狀態。
• 返回結果：回傳一個簡單的 JSON，明確告知權杖是否 active。

// 資源伺服器發起請求
POST /connect/introspect HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Authorization: Basic <base64(APIResoureName|Secret)>

token=<access_token>

// 授權伺服器返回結果
HTTP/1.1 200 OK Content-Type: application/json
{
  "active": true,
  "aud": "<APIResourceName>",
  "scope": "<API Scope>",
  "client_id": "<使用的client_id>",...... 
  "exp": <失效時間截>
}

• 🚀 高效能場景優先選 JWT：
  對於絕大多數讀取操作或內部微服務呼叫，JWT 的高效能是首選。可通過縮短權杖有效期（如5-15分鐘）來平衡安全風險。
• 🛡️ 關鍵操作使用內省：
  對於支付、修改權限、刪除資料等高風險操作，即使是 JWT，也應在執行前額外呼叫內省端點進行二次確認，確保萬無一失。
• 🤝 混合模式：
  在一個系統中，根據 API 的重要性混合使用。例如，查詢使用者資料用 JWT，修改密碼則強制內省驗證。
• ❓ 提供兼容選項：
  本中心預設發行自包含的 JWT 權杖。但若對接的客戶端系統因技術限制（如舊系統、特定框架）而無法解析 JWT，我們可為其特例配置發行「參考權杖 (Reference Token)」。該客戶端則必須使用內省端點來驗證權杖的有效性。