Я получаю два JWT: токен OpenID Connect (id_token) и токен доступа (access_token). Ситуация с OpenID более или менее понятна - я могу проверить ее с помощью конечной точки JWK: https://smth.com/JWKS.
как в примере (https://bitbucket.org/b_c/jose4j/wiki/JWT%20Examples):
HttpsJwks httpsJkws = new HttpsJwks("https://smth.com/JWKS");
HttpsJwksVerificationKeyResolver httpsJwksKeyResolver = new HttpsJwksVerificationKeyResolver(httpsJkws);
jwtConsumer = new JwtConsumerBuilder()
.setVerificationKeyResolver(httpsJwksKeyResolver)
.setExpectedAudience(...)
.setExpectedIssuer(...)
.build();
Вопрос заключается в том, как продолжить работу с токеном доступа. Я могу извлечь из него userId и userDetails, но я думаю, мне нужно также проверить его?
Если я пытаюсь сделать то же самое, что и для токена, я получаю ошибку: UnresolvableKeyException: Unable to find a suitable verification key for JWS w/ header {"alg" : "RS256", "kid":"1"}
. И действительно, нет ключа для "малыша": "1", также это значение "1" кажется странным?
Я делаю что-то совершенно не так?