Sample Consumer APIResource Server - JWT Bearer
protetta da token

Come l'API valida un JWT

Questa API non ha login: protegge le risorse verificando un access token JWT emesso da CentralAuth. Usa i pulsanti per ottenere un token e osservare la validazione passo-passo.

  1. 1
    Il client ottiene un access token

    Flusso client_credentials verso il token endpoint di CentralAuth (il secret resta lato server).

  2. 2
    Richiesta con header Bearer

    Il client invia Authorization: Bearer <token> all'endpoint protetto /me.

  3. 3
    Recupero chiavi pubbliche (JWKS)

    L'API scarica le chiavi dall'authority per verificare la firma del token.

  4. 4
    Verifica firma, issuer, audience, scadenza

    Il token deve essere firmato dall'issuer atteso, con audience valida e non scaduto.

  5. 5
    Estrazione claim e autorizzazione

    Se valido, i claim sono disponibili e si applicano policy/ruoli (es. admin).

Demo interattiva

Token corrente (decodificato)

Nessun token: premi 1 - Ottieni access token.