Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我正在考虑将 JWT 功能添加到令牌生成系统中,该系统目前使用我们自己的签名和自定义算法支持 SAML。在这种情况下,我们是否应该始终拥有令牌的 JOSE 标头,或者我们可以仅生成带有声明的 JWT。
以紧凑的序列化表示形式在线发送的 JWT 必须始终包含一个标头,但如果您不签署 JWT,则该标头可以设置为 base64 编码的值{"alg":"none"}。
{"alg":"none"}
但是,如果您想在您控制和实施的两个系统之间发送它,您只能发送有效负载 JSON 对象,即 JWT 声明集。当然,您将无法使用 JWT 库对其进行解析,但您可以将其视为使用普通 JSON 解析器的任何其他 JSON 对象。