我正在 Node.js 和 Express 中编写 SSO 身份验证服务器,使用 JWT 进行身份验证。我一直在阅读 Auth0 等来源的文章,了解如何更好地保护我的 JWT。我已经能够包含并验证令牌上的大多数标准声明,但我想知道究竟要验证什么“iat”和“sub”声明。
对于“iat”,当令牌传递到 Express 路由并且该路由在执行任何敏感操作之前开始检查用户的身份验证状态时,提供值来验证此声明的最佳实践是什么?我最好的猜测是在验证签名之前从令牌中提取 userId,然后将其与存储在用户表中的“iat”值进行比较,但这似乎不对。
对于“sub”,使用无状态服务器,如果应用程序从经过验证的令牌本身获取其用户信息,那么应用程序应该如何知道期望并验证哪个用户的“sub”声明?
或者我对这些用例的理解不正确?该服务器的目的是为此应用程序本身以及其他应用程序内的内容提供身份验证。