私人和公众对jwt的索赔有什么区别

时间:2018-03-11 01:53:52

标签: authentication jwt claims

私人和公众对jwt的索赔有什么区别?

我对这两种说法之间的区别感到困惑。据我所知,他们都是自定义索赔。那有什么区别?

2 个答案:

答案 0 :(得分:4)

公开声明
需要防碰撞的自定义声明名称。它们的名称应该是UUID或URL前缀,以便为它们创建一个安全的命名空间并避免冲突。

私人声明
自定义声明名称不需要是抗冲突的。

  

私人和公众对jwt的索赔有什么区别?

唯一的区别是公开要求必须具有普遍的抗冲突性,而私人要求则不是。

答案 1 :(得分:0)

公共声明类似于为公共消费定义的公共API。他们应该有据可查。 any定义了几种方法。

  1. 您可以在RFC中指定的公共IANA“ JSON Web令牌声明”注册表中注册公共声明名称。围绕整个审批过程。参见RFC7519 section 10.1
  2. 您必须确保公共声明名称不具有共谋性,即极不可能与其他名称相冲突。示例是https://tools.ietf.org/html/rfc7519#section-10.1UUIDOID

私人权利要求是仅JWT的生产者和消费者已知的权利要求。私人索赔名称不是抗串通的,在使用时应清楚了解这一点并谨慎对待...