【发布时间】:2023-04-03 09:53:01
【问题描述】:
我正在考虑将 JWT 功能添加到令牌生成系统中,该系统目前使用我们自己的签名和自定义算法支持 SAML。在这种情况下,我们应该始终拥有令牌的 JOSE 标头,还是仅生成带有声明的 JWT。
【问题讨论】:
标签: saml specifications jwt json-web-token
我正在考虑将 JWT 功能添加到令牌生成系统中,该系统目前使用我们自己的签名和自定义算法支持 SAML。在这种情况下,我们应该始终拥有令牌的 JOSE 标头,还是仅生成带有声明的 JWT。
【问题讨论】:
标签: saml specifications jwt json-web-token
以紧凑的序列化表示通过网络发送的 JWT 必须始终包含一个标头,但如果您不签署 JWT,则该标头可以设置为 {"alg":"none"} 的 base64 编码值。
但是,如果您想在您控制和实施的两个系统之间发送它,您只能发送有效负载 JSON 对象,即 JWT 声明集。当然,您将无法使用 JWT 库对其进行解析,但您可以将其视为使用普通 JSON 解析器的任何其他 JSON 对象。
【讨论】: