JWT:核实AUD索赔的正确方法
我正在管理openId jws,我不确定如何验证JWT:核实AUD索赔的正确方法,jwt,openid,specifications,verify,audience,Jwt,Openid,Specifications,Verify,Audience,我正在管理openId jws,我不确定如何验证aud声明 具体来说,假设我有一个应用程序idmyapp.site.com,我收到一个aud,它的值是myapp.site.com*| ANY。我没有找到有关此格式的规范,但将aud规范读入我应该分解字符串myapp.site.com |*| ANY,使用“管道”作为分隔符,然后验证此数组是否包含特定的客户端id(即myapp.site.com) 我的问题是:*和任何是什么?这种格式有一些规范吗?我在哪里可以检索信息 提前感谢, Sim。这看起来像
aud
声明
具体来说,假设我有一个应用程序idmyapp.site.com
,我收到一个aud
,它的值是myapp.site.com*| ANY
。我没有找到有关此格式的规范,但将aud
规范读入我应该分解字符串myapp.site.com |*| ANY
,使用“管道”作为分隔符,然后验证此数组是否包含特定的客户端id(即myapp.site.com
)
我的问题是:*
和任何
是什么?这种格式有一些规范吗?我在哪里可以检索信息
提前感谢,
Sim。这看起来像是一个定制的东西,不是我在其他任何地方见过的标准,所以我想这取决于你对它的解析。同时,受众的目的是让令牌的接收者确保令牌是针对它的,而不是针对其他人的。因此,即使签名有效,接受任何令牌也会带来安全风险。谢谢您的回复。我理解这个声明的目的,事实上,我唯一的怀疑是它的价值,但我接受“这看起来像是一件定制的东西[…]”,所以再次感谢你。