Thinbug
News
当应用程序是其自身的唯一令牌提供者时,验证发行人和受众在JWT中的重要性
时间:2018-10-05 14:41:23
标签:
oauth
jwt
openid
听起来像是愚蠢的问题,但是我无法从许多文章中找到/推断以下问题的答案。
Issuer
是谁? (可能是我们信任的令牌提供者。例如“ Google,Faceboock等”,并且我们的网站接受主题中的令牌)。
Audience
是谁?
如果我不使用
OAuth
和
OpenID
,我应该验证这两个吗?我的意思是,它们仅用于第三方身份验证/授权吗(因为我的网站是我自己的令牌的唯一发行者)?
如果我的网站
不
不使用第三方进行身份验证和授权,如果我不验证这两个身份,我应该承担什么风险?
1 个答案:
答案 0 :(得分:3)
是的,发行者是令牌的提供者
客户,即接收方
如果JWT有观众,则应确认您是观众
有人使用针对您的服务/ API(例如API A)针对不同的服务/ API(例如API B)发行的令牌
相关问题
令牌的颁发者不是受信任的颁发者Sharepoint Provider Hosted App
每个请求读取并验证JWT令牌
JWT - 配置授权服务器并将颁发者设置为自身
JWT令牌 - 受众,发行人和子域名
观众是无效的错误
仅验证从Azure B2C AD生成的JWT令牌的签名
在Azure的<validate-jwt>标记中,密钥,受众,声明和颁发者对OAuth2意味着什么?
当应用程序是其自身的唯一令牌提供者时,验证发行人和受众在JWT中的重要性
在将JWKS与Auth0结合使用时,如果我使用本地主机,受众和发行者是什么?
如何验证来自不同发行人的jwt令牌
最新问题
我写了这段代码,但我无法理解我的错误
我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
是否有可能使 loadstring 不可能等于打印?卢阿
java中的random.expovariate()
Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
为什么我的 Onclick 箭头功能在 React 中不起作用?
在此代码中是否有使用“this”的替代方法?
在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
每千个数字得到
更新了城市边界 KML 文件的来源?