据我了解,OIDC声明是通过JWT发送的。这是否意味着客户用户可以在JWT中查看他们自己的声明?
我正在考虑添加一个可以访问的客户端应用程序,但使用该应用程序的用户没有问题的索赔值。
答案 0 :(得分:1)
JWT是公开令牌,用户可以捕获并读取。很好重要的是,声明不能更改。
如果您有敏感数据(不属于安全性),则不要将其放入令牌中,而要使用会话或从商店(例如数据库)中读取数据。
如果使用IdentityServer,则可以使用reference tokens(JWT的替代方法)。然后只使用一个键,而对用户隐藏信息。