我遇到有关令牌有效范围的问题:
我有两个或更多使用相同授权服务器的应用程序A. 应用程序用户可以伪造合法令牌并将其解压缩以与应用程序B一起使用并访问应用程序B. 我的应用程序B具有敏感数据和API,因此我不希望使用任何其他应用程序伪造的令牌来访问它。
是否有任何限制令牌有效性的机制。
致以最诚挚的问候,
答案 0 :(得分:0)
A"真实"令牌会在时间和范围上受到约束,但它通常会包含一个"观众"这也会告诉收件人a.k.a.资源服务器是否真的为它(或其他人)发放了令牌。因此,防止令牌重放到另一个服务的机制通常被称为“令牌读者”#34;。
OAuth 2.0本身并不定义令牌的内容,但如果您使用JWT令牌,则观众将被记录在" aud"权利要求。
最重要的是,您可以使用范围机制来定义仅在特定资源服务器的上下文中有效/接受的范围。