If I disable UseJsonWebTokens(),I can generate a token and authorise successfully. However,I am not sure that my certificate is validating the returned tokens.

在ASOS(OpenIddict背后的OpenID Connect服务器框架)中,有2种不同的内置序列化机制来创建和保护令牌：

>使用IdentityModel(由Microsoft开发的库)并生成可由第三方验证的标准令牌：

始终使用此过程创建标识令牌(根据定义为JWT),您可以调用UseJsonWebTokens()强制OpenIddict发出使用相同序列化过程的访问令牌.

您在调用AddSigningCertificate()时指定的证书始终用于对这些令牌进行签名.

>使用ASP.NET核心数据保护堆栈(也由Microsoft开发)：

此堆栈专门生成“专有”令牌,这些令牌不应由第三方读取或验证,因为令牌格式不是标准格式,必然依赖于对称签名和加密.

这是我们用于授权代码和刷新令牌的机制,仅供OpenIddict本身使用.当您使用默认令牌格式时,它也用于访问令牌.

在这种情况下,不使用您在调用AddSigningCertificate()时指定的证书.

相反,这些令牌始终由数据保护堆栈使用经过身份验证的加密算法(默认情况下为AES-256-CBC和HMACSHA256)进行加密,从而提供真实性,完整性和机密性.为此,数据保护堆栈从存储在密钥环中的一个主密钥导出2个密钥(一个用于加密,一个用于验证).

How can I enforce the request to be validated with my certificate to make sure the JWT token is not tampered with.
What are the correct settings that will allow validation and authorisation of my JWT token,given that if I am not using JWT,I am getting authorised successfully.

要回答这些问题,如果您启用了日志记录并共享了跟踪,这将有所帮助.