我们正在研究需要使用OAuth授权类型JWT承载流使用授权的用例。
从高层次上讲,我们知道应该将grantype(grant_type = urn:ietf:params:oauth:grant-type:jwt-bearer)与jwt断言一起传递以获得访问令牌。
问题:
1.哪种类型的用例适合这种授予类型?
2。谁会创建一个jwt断言?它是自定义的东西吗,应该基于用户的成功身份验证来实现。
3。在JWT断言和访问令牌上应该进行哪些验证?
答案 0 :(得分:0)
此授予类型流可用于以下情况:
JWT由客户端本身发出:此声明iss(发布者)和sub(主题)引用客户端ID。由于主题是客户端,因此可以将其与“客户端凭据”授予类型流进行比较。这对于不想公开其凭据的客户非常有用。
JWT由受信任的第三方(由授权服务器信任)发布:在这种情况下,主题可以是客户端本身,另一个客户端或最终用户。
section 3 of the RFC7523对于要检查的声明非常清楚:
iss:令牌的发行者(客户或受信任的第三方)aud:应至少包含授权服务器。对于案例2,还应包含客户端ID sub:主题对应于资源所有者exp:到期时间iat,nbf,jti或自定义声明。