我正在研究一个解决方案,我们有一个场服务器来处理应用程序。如果我使用 JWT 会有问题吗?我的意思是,如果我的服务器 A 已关闭并且用户从服务器 A 获取令牌并使用服务器 B 生成的 JWT 将请求发送到服务器 B,则服务器 B 将能够使用服务器 A 生成的 JWT 对请求进行身份验证?
此致
问问题
215 次
1 回答
0
是的,如果受众(“aud”)有效,则应接受令牌。
“aud”(受众)声明标识了 JWT 的目标接收者。打算处理 JWT 的每个主体都必须使用受众声明中的值来标识自己。如果当该声明存在时,处理该声明的主体未使用“aud”声明中的值来标识自己,则必须拒绝 JWT。在一般情况下,“aud”值是区分大小写的字符串数组,每个字符串都包含一个 StringOrURI 值。在 JWT 有一个受众的特殊情况下,“aud”值可能是包含 StringOrURI 值的单个区分大小写的字符串。受众价值的解释通常是特定于应用程序的。
B 还可以检查令牌的发行者(“iss”)是否是场服务器之一,或者所有服务器都可以使用相同的发行者。
JWT 规范中的更多信息。
于 2018-04-25T20:44:29.737 回答