JSON Web 令牌中的客户端 ID 或多个受众

【问题标题】:Client ID or Multiple Audiences In JSON Web TokenJSON Web 令牌中的客户端 ID 或多个受众
【发布时间】:2015-11-07 22:22:46
【问题描述】:

我在我的应用程序中使用 JWT 实现 OAuth 2.0,但无法决定将什么设置为我的 aud 声明。用户将通过我的身份验证服务器“登录”到我的客户端以访问我的 API(资源)服务器。我希望我的令牌仅对特定客户端和特定 API 有效。

从我的客户端登录时,我在请求中包含的不是client_id,而是most implementations I've foundaud 设置为client_id。我倾向于在我的登录请求中包含一个客户 audience_id 字段,然后将令牌中的 aud 设置为 client_idaudience_id 的数组,但是 感觉就像它只是意味着该令牌对audiences 都有效,这使我认为我应该添加一个名为client 的自定义声明,以明确声明此令牌是为特定客户端创建的。

我没有遇到在 OAuth 登录请求中同时包含 client_idaudience_id(s) 的任何在线实现,我也没有看到对 client in the spec 的保留声明。

我在这里遗漏了什么吗?

在 JWT 中明确声明不同的 client_idaudience_id 的最佳做法是什么?

【问题讨论】:

    标签: oauth oauth-2.0 jwt json-web-token


    【解决方案1】:

    JWT 的受众是资源服务器,因为这是处理令牌的地方,即验证、检查和采取行动。来自 RFC 7519,https://www.rfc-editor.org/rfc/rfc7519#section-4.1.3

    “aud”(受众)声明标识了 JWT 的接收者
    用于。打算处理 JWT 的每个主体都必须
    用受众声明中的价值来识别自己。
    [...]
    受众价值的解释通常是特定于应用程序的。
    [...]

    所以最佳实践是aud 应该标识资源服务器。

    客户端只是令牌的呈现者,最佳实践(即在 OpenID Connect 和一些新兴的 OAuth 2.0 扩展草案中)使用azp(授权的呈现者)进行该声明。来自http://openid.net/specs/openid-connect-core-1_0.html#CodeIDToken

    azp
    可选的。授权方 - ID 令牌所属的一方 发布。如果存在,它必须包含此 OAuth 2.0 客户端 ID 派对。仅当 ID Token 具有单个 受众价值,并且该受众不同于授权的受众 派对。
    [...]

    所以最佳实践是azp 标识客户端。

    【讨论】:

    • 然后在来自客户端的初始登录请求中包含audience_id,指示他们请求访问哪些受众?
    • 可以使用scope 概念(和请求参数)间接创建该关系;这比范围和资源服务器之间的一对一映射提供了更大的灵活性;一般来说,范围模拟访问权限:范围可以映射到资源服务器,但也可以映射到受资源服务器等保护的特定资源,或资源服务器的集合
    猜你喜欢
    • 2021-02-18
    • 2023-03-25
    • 2015-11-10
    • 2015-09-20
    • 1970-01-01
    • 2016-08-06
    • 2016-12-17
    • 1970-01-01
    • 2021-03-12
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode