我正在使用 JWT 令牌在web api 2授权中实施,我是这个领域的新手。 我坚持生成 AudienceId 和 AudienceSecret 为什么需要它们的目的?
答案 0 :(得分:1)
从OAuth的角度来看,代币是不透明的对象,并不包含“观众”。索赔。如果您使用JWT令牌,那么您可以参考JWT specificacion RFC7159
<强> 4.1.3。 &#34; AUD&#34; (受众)声明
&#34; aud&#34; (观众)声明确定JWT所在的收件人 用于。每个校长都打算处理JWT 用受众群体声明中的值来表明自己。如果校长 处理索赔并不表示自己的值 &#34; AUD&#34;声称存在此声明时,JWT必须是 被拒绝。在一般情况下,&#34; aud&#34;值是一个案例数组 - 敏感字符串,每个字符串包含StringOrURI值。在里面 特殊情况下JWT有一个观众,&#34; aud&#34;价值可能是一个 包含StringOrURI值的单个区分大小写的字符串。该 对受众价值的解释通常是特定于应用的。 使用此声明是可选的。
aud的预期用途是识别令牌的预期收件人。它的使用是可选的,取决于应用程序的上下文。可能在您的Oauth2服务器的文档中指定了目的
另请参阅有关此主题的详细answer