我正在使用一个解决方案,我们有一个服务器场服务器来处理应用程序。 如果我使用JWT会有问题吗?我的意思是如果我的服务器A关闭并且用户从服务器A获得令牌并使用服务器B生成的JWT将请求发送到服务器B,则服务器B将能够使用服务器A生成的JWT来验证请求。 ?
最好的问候
答案 0 :(得分:0)
是的,如果受众群体(" aud")有效,则应接受令牌。
" aud" (观众)声明确定JWT所在的收件人 打算用于。每个校长都打算处理JWT 用受众群体声明中的值来表明自己。如果校长 处理索赔并不表示自己的值 " AUD"声称存在此声明时,JWT必须是 被拒绝。在一般情况下," aud"值是一个案例数组 - 敏感字符串,每个字符串包含StringOrURI值。在里面 特殊情况下JWT有一个观众," aud"价值可能是一个 包含StringOrURI值的单个区分大小写的字符串。该 对受众价值的解释通常是针对特定应用的。
B还可以检查令牌的颁发者(&#34; iss&#34;)是其中一个场服务器,或者所有服务器都可以使用相同的颁发者。< / p>
JWT spec中的更多信息。