假设一些名为'AppX'的应用程序通过JWT令牌授予对其API的访问权限,并使用它自己的内部独立项目来授予JWT令牌。
JWT Issuer应用程序不包含“iss” - JWT令牌中的issuer字段。所以'AppX'应用程序不验证“iss” - JWT令牌的发行者。
我想尽可能深入地理解以下几点:
1)某人(局外人/内幕人士)(道德/不道德的黑客)如何利用这种知识/假设'AppX'未验证发行人?
2)是否真的有必要验证令牌发行人(iss字段),因为发行人应用是内部的?鉴于外面的任何人都可以请求获得令牌
3)如果JWT令牌发行者不是内部发布者,但我们确定请求JWT令牌的URL,这是否需要验证发行人呢?
4)验证发行人的最佳做法是什么?
欢迎您建议编辑/改进问题/描述。