Oauth 可能是什么'；未验证发行人的后果'；JWT代币的价值？_Oauth_Oauth 2.0_Jwt_Access Token_Spring Security Oauth2

Oauth 可能是什么'；未验证发行人的后果'；JWT代币的价值？

oauth oauth-2.0 jwt

Oauth 可能是什么'；未验证发行人的后果'；JWT代币的价值？,oauth,oauth-2.0,jwt,access-token,spring-security-oauth2,Oauth,Oauth 2.0,Jwt,Access Token,Spring Security Oauth2,假设一些名为“AppX”的应用程序通过JWT令牌授予对其API的访问权，并使用它自己的内部独立项目授予JWT令牌 JWT发卡机构应用程序不包括“iss”-JWT令牌中的发卡机构字段。因此，“AppX”应用程序没有验证JWT令牌的“iss”颁发者我想尽可能深入地理解以下几点： 1）知道/假设“AppX”没有验证发行人，那么（局外人/内部人）（道德/不道德的黑客）如何利用此漏洞？ 2）由于发卡机构应用程序是内部的，是否确实需要验证令牌发卡机构（iss字段）？考虑到外部的任何人都可以请求获取令牌

假设一些名为“AppX”的应用程序通过JWT令牌授予对其API的访问权，并使用它自己的内部独立项目授予JWT令牌

JWT发卡机构应用程序不包括“iss”-JWT令牌中的发卡机构字段。因此，“AppX”应用程序没有验证JWT令牌的“iss”颁发者

我想尽可能深入地理解以下几点：
1）知道/假设“AppX”没有验证发行人，那么（局外人/内部人）（道德/不道德的黑客）如何利用此漏洞？
2）由于发卡机构应用程序是内部的，是否确实需要验证令牌发卡机构（iss字段）？考虑到外部的任何人都可以请求获取令牌。
3）如果JWT令牌颁发者不是内部的，但我们确定请求JWT令牌的URL，这是否需要对颁发者进行验证？
4）验证发行人的最佳做法是什么？

欢迎您建议编辑/改进问题/描述