3

听起来像愚蠢的问题,但我无法从许多文章中找到/推断以下问题的答案。

  1. 谁是Issuer?(可能是我们信任的令牌提供商。例如“Google、Faceboock 等”,我们的网站接受来自主题的令牌)。
  2. 谁是Audience
  3. 如果我不使用OAuthand ,我应该验证这两个OpenID吗?我的意思是,它们是否仅用于第 3 方身份验证/授权(因为我的网站是我自己的令牌的唯一发行者)?
  4. 如果我不验证这两个,当我的网站使用第 3 方进行身份验证和授权时,我应该承担什么风险?
4

1 回答 1

5
  1. 是的,发行者是令牌的提供者
  2. 客户端,即 OpenID Connect 中的接收者,OAuth 2.0 中的资源服务器
  3. 如果 JWT 有受众,接收者应该验证它是受众
  4. 有人针对您的服务/API(例如 API A)使用为不同服务/API(例如 API B)颁发的令牌
于 2018-10-09T16:12:58.683 回答