0

登录 Auth0 时:

POST https://my.auth0.com/oauth/ro
{
  "client_id":   "<client-id>",
  "username":    "me@gmail.com",
  "password":    "••••••••",
  "connection":  "<auth0-connection>",
  "grant_type":  "password",
  "scope":       "openid offline_access jti email",
  "device":      "<device-id>"
}
// Response
{
  "refresh_token": "<refresh-token>",
  "id_token": "<id-token>",
  "access_token": "<access-token>",
  "token_type": "bearer"
}
// id_token JWT payload
{
  "jti": "3d4c5e97-3543-4c53-b46e-3aa965cd5a34",
  "email": "me@gmail.com",
  "email_verified": false,
  "iss": "https://my.auth0.com/",
  "sub": "auth0|<id>",
  "aud": "<aud>",
  "exp": 1481766419,
  "iat": 1481730461
}

如果我jti在我的范围内指定,返回id_token的 JWT 将包含一个jti. Auth0jti建议使用 JWT。jtis 唯一标识 JWT,可用于将 JWT 列入黑名单之类的事情。

但是,由于某种原因,如果我尝试id_token使用刷新令牌获取新令牌:

POST https://my.auth0.com/delegation
{
  "client_id":       "<client-id>",
  "grant_type":      "urn:ietf:params:oauth:grant-type:jwt-bearer",
  "refresh_token":   "<refresh-token>",
  "api_type":        "app",
  "scope":           "openid offline_access jti email",
  "device":          "<device-id>"
}
// Response
{
  "token_type": "Bearer",
  "expires_in": 35958,
  "id_token": "<id-token>"
}
// id_token JWT payload
{
  "email": "me@gmail.com",
  "email_verified": false,
  "iss": "https://my.auth0.com/",
  "sub": "auth0|<id>",
  "aud": "<aud>",
  "exp": 1481766678,
  "iat": 1481730720,
  "azp": "<azp>"
}

即使我jti在我的范围内指定,id_token返回的也不包含jti.

这是一个错误吗?请帮忙。

4

1 回答 1

1

默认情况下jti不会生成或包含声明。如果您看到这种行为,最可能的解释是您有一个执行以下操作的自定义规则:

function (user, context, callback) {
  user.jti = require('uuid').v4();
  callback(null, user, context);
}

这意味着当您将 包含jti为范围时,该值将包含在生成的 ID 令牌中,因为它是从该属性获得的。在通过委托时,jti声明似乎受到特殊处理,并且在您进行刷新时被忽略。不鼓励使用委托进行刷新,但是,如果您想继续使用该方法并且只需要 JWT 中的唯一标识符,如果您使用非保留的声明名称,则可以解决此问题。例如,在规则中:

function (user, context, callback) {
  user.myjti = require('uuid').v4();
  callback(null, user, context);
}

然后在两个请求上都包括myjti范围;快速测试表明,这在使用委托时也有效。

于 2016-12-15T12:00:16.980 回答