Authentication 如果;国际空间站“;访问令牌中的字段是HTTP URL吗?

Authentication 如果;国际空间站“;访问令牌中的字段是HTTP URL吗?,authentication,access-token,bearer-token,Authentication,Access Token,Bearer Token,我在客户端的API上添加了承载令牌身份验证。在发送到API的访问令牌中,颁发者是:http://[some domain.com]/adfs/services/trust 当此URL位于HTTP而非HTTPS上时,身份提供程序的配置是否错误或不安全?或者这只是一个字符串,不用于发出请求,因此它是否表示HTTP无关紧要?iss声明是一个字符串或,这意味着接收令牌的服务将通过将该值与配置为信任的颁发者列表进行比较来确定是否信任令牌 字符串比较应遵循中描述的规则 该值不是,因此该值不指向网络上的任何实

我在客户端的API上添加了承载令牌身份验证。在发送到API的访问令牌中,颁发者是:
http://[some domain.com]/adfs/services/trust


当此URL位于HTTP而非HTTPS上时,身份提供程序的配置是否错误或不安全?或者这只是一个字符串,不用于发出请求,因此它是否表示HTTP无关紧要?

iss声明是一个字符串或,这意味着接收令牌的服务将通过将该值与配置为信任的颁发者列表进行比较来确定是否信任令牌

字符串比较应遵循中描述的规则

该值不是,因此该值不指向网络上的任何实际资源


有关JWT和标准声明的更多信息,请参阅。

如果它是一个URI,怎么可能是URL?@我的意思是,如果iss可以是一个URI,那么它可以是一个URL。为什么说值“http://[some domain.com]/adfs/services/trust”不是有效的URL?也许我误解了你的意思answeer@WhimusicalURL指向通过HTTP请求可以访问的内容。URI是一种抽象,它看起来像URL,但实际上无法在internet上访问。如果它是现有URL,则它自动成为有效的URI(反之亦然)。所以是的,这是有效的。最初的问题是使用http而不是https是否不安全。但是接收服务器不访问该URL,所以这无关紧要。