0

我在管理 openId jws 的上下文中,我不确定如何验证aud声明。

详细来说,假设我有一个应用程序 ID myapp.site.com,并且我收到一个audwhich 值是myapp.site.com|*|ANY. 我还没有找到关于这种格式的规范,但是将aud规范读入https://openid.net/specs/openid-connect-core-1_0.html#IDToken我应该使用“管道”作为分隔符explode的字符串myapp.site.com|*|ANY,然后验证此数组是否包含方面的客户端 ID(即myapp.site.com)。

我的问题是:*andANY呢?有关于这种格式的一些规范吗?我在哪里可以检索信息?

提前致谢,

辛。

4

1 回答 1

1

这看起来像是一个自定义的东西,不是我在其他任何地方看到的标准,所以我想你可以按原样解析它。同时,观众的目的是让代币的接收者确保代币是针对它而不是其他人的。因此,即使签名有效,接受任何令牌也是一种安全风险。

于 2020-08-04T16:55:07.443 回答