假设从secure.example.com获得JWT,之后用于访问api.example.com处的API,该API具有用于验证JWT签名的密钥。除了设置允许来自api.prototype.com的CORS请求之外,同样的JWT还用于*.example.com,其中还有用于验证JWT签名的密钥。
这是否有效?换句话说,哪个领域发布JWT并不重要。唯一重要的是验证JWT的服务器具有解密签名的私钥。
答案 0 :(得分:1)
JWT未链接到域。它可以包含对发行者的引用(iss声明),但它与CORS没有任何关系
如果目标域提供某些特定标头,则浏览器允许来自不同源域的目标域的ajax CORS请求。授权后,您可以发送JWT或其他内容。