如何在多个网站之间共享一个JWT令牌。我认为第一件事就是在所有网站上都有相同的秘密。
如果用户在站点A上登录并生成令牌,我想在完全不同的域上对网站B使用相同的令牌。
可以吗?
答案 0 :(得分:11)
您可以做什么,但不能使用单个 JWT令牌。 JWT令牌适用于受众(aud)声明所指示的特定服务或应用。您不能将同一令牌用于其他应用程序或服务。
使SSO方案正常工作的原因是用户登录令牌发布(授权)服务器。只要该会话有效,用户就可以获取服务器可以为其颁发令牌的所有应用程序的令牌。
因此,当用户登录到第一个应用程序时,授权服务器会设置cookie以建立会话。当用户导航到第二个应用程序时,应用程序将他/她重定向到授权服务器以进行身份验证。授权检测会话cookie,不会提示用户再次登录,但会为第二个应用程序发出新的JWT令牌。