那些遇到过的问题

当应用程序是其自身唯一的令牌提供者时,验证 JWT 中的发行者和受众的重要性

Rza*_*sar 5 openid oauth jwt

听起来像是愚蠢的问题,但我无法从许多文章中找到/推断以下问题的答案。

  1. 谁是Issuer?(可能是我们信任的令牌提供商。例如“Google、Faceboock 等”,我们的网站接受来自主题的令牌)。
  2. 谁是Audience
  3. 如果我不使用OAuthand ,我应该验证这两个吗OpenID?我的意思是,它们仅用于第三方身份验证/授权(因为我的网站是我自己的令牌的唯一发行者)?
  4. 当我的网站不使用第三方进行身份验证和授权时,如果我不验证这两者,我应该承担什么风险?

Han*_* Z. 6

  1. 是的,发行者是代币的提供者
  2. 客户端,即 OpenID Connect 中的接收者,OAuth 2.0 中的资源服务器
  3. 如果 JWT 有受众,接收者应验证它是否是受众
  4. 有人针对您的服务/API(例如 API A)使用为不同服务/API(例如 API B)颁发的令牌

归档时间:

查看次数:

2836 次

最近记录:

4 年,1 月 前
相关归档
如何在Jenkins中创建用户并将其添加到组中进行身份验证? 59
JOSE、JWA、JWE、JWK、JWS 和 JWT 有什么区别? 21
如何从 jwt 令牌获取“exp”并与当前时间进行比较以检查令牌是否过期 13
无法从DotNetOpenId响应中获取属性 7
FacebookOAuthClient去哪儿了? 7
保护 oauth 承载令牌免受 javascript 应用程序中的 XSS、CSRF 等攻击 5
实时回复推文并发送带有推文文本的电子邮件 5
当使用 Spring Authorization Server 进行身份验证(和授权)时,它有哪些可能性? 5
使用 django 和 AngularJS 使用 JWT 登录所需的装饰器 1
如何固定将请求的模式设置为“ no-cors”? 1
难疑归档
如何在特定索引(JavaScript)的数组中插入项? 2709
如何在Web表单字段/输入标记上禁用浏览器自动完成? 2680
将字符串转换为datetime 2035
在不应用它的情况下查看存储中的内容 1650
makefile中.PHONY的目的是什么? 1535
静态只读与const 1349
检查jQuery中是否存在元素 1209
如何删除文本/输入框周围的边框(轮廓)?(铬) 1208
如何从Git存储库中删除.DS_Store文件? 1167
为PHP密码保护哈希和盐 1142