ADR-033. JWT access token profile
Контекст
Все backend-сервисы должны валидировать user и service tokens одинаково, без синхронной зависимости от identity на каждый request.
Решение
Access token — JWT RS256, issuer identity, JWKS validation, TTL 15 минут для user tokens и 5 минут для service tokens. Это единственный token profile, который принимают не-identity домены. Main Auth HS256/internal session artifact, если используется внутри identity, не является ecosystem access token. Service scopes используют формат service:<permission> и выдаются через OAuth client_credentials.
Последствия
- refresh token rotation остаётся в identity;
- сервисы валидируют подпись offline и проверяют audience/scope;
X-Actor-Contextне хранится какsubи проверяется отдельно.
Связи
- relates: ADR-016;
- relates: ADR-017;
- runtime contract:
../../platform/auth-integration.md.