Fre*_*ert 8 oauth access-token oauth-2.0 jwt
我很困惑,在向授权服务器发送授权请求时似乎没有标准方法来指定访问令牌的受众.
OAuth2将访问令牌指定为不透明字符串; 在规范中只提到一个"观众",说访问令牌可能是"受众限制".许多最近的授权服务器实现似乎产生JWT访问令牌,JWT指定了受众(aud)声明.
据我所知: - Auth0使用'audience'参数 - Connect2id使用'resource'参数 - Identity Server使用固定的基于发行者的值来'aud'声明,并假设范围足够 - 但是,这不是适合所有用例. - 优秀的"OAuth2 in Action"一书中显示了"aud"声明中的资源服务器URI的示例,但未说明它来自何处.
那么,如何以标准方式获取特定受众(资源服务器,API,...)的访问令牌?
我想你是对的。有一些可用的指导方针。 OAuth 2.0 授权框架:不记名令牌使用 OAuth 2.0:受众信息 (draft-tschofenig-oauth-audience-00.txt)
OpenID 连接一个明确定义的“aud”参数为:
必需的。此 ID 令牌适用的受众。它必须包含依赖方的 OAuth 2.0 client_id 作为受众值。它还可以包含其他受众的标识符。在一般情况下,aud 值是一个区分大小写的字符串数组。在有一个观众的常见特殊情况下,aud 值可能是一个区分大小写的字符串。
| 归档时间: |
|
| 查看次数: |
5185 次 |
| 最近记录: |