Oauth jwt承载和令牌交换授权类型之间的差异

授权类型“urn:ietf:params:oauth:grant-type:jwt-bearer（）和“urn:ietf:params:oauth:grant-type:token-exchange”（）之间的主要区别是什么

“urn:ietf:params:oauth:grant-type:jwt-bearer”是oauth 2.0授权服务器定义为jwt-bearer令牌的urn（使用OAuth2.0授权授予类型）

“urn:ietf:params:oauth:grant type:token exchange”是oauth 2.0授权服务器定义为JWT承载令牌的urn（使用OAuth2.0令牌交换授权类型）

注:

jwt承载者指任何持有jwt令牌的人都可以访问请求的资源

令牌交换基本上用于用户模拟和委派目的。通常由交换JWT承载令牌以模拟最终用户的支持人员使用，以请求最终用户的资源帮助实时调试问题（或）为下游系统的给定令牌交换另一个JWT承载令牌

• “urn:ietf:params:oauth:grant-type:jwt-bearer”是oauth 2.0授权服务器定义为jwt-bearer令牌的urn（使用OAuth2.0授权授予类型）
• “urn:ietf:params:oauth:grant type:token exchange”是oauth 2.0授权服务器定义为JWT承载令牌的urn（使用OAuth2.0令牌交换授权类型）

注:

jwt承载者指任何持有jwt令牌的人都可以访问请求的资源

令牌交换基本上用于用户模拟和委派目的。通常由交换JWT承载令牌以模拟最终用户的支持人员使用，以请求最终用户的资源帮助实时调试问题（或）为下游系统的给定令牌交换另一个JWT承载令牌

---

对于令牌交换，而不是出于用户模拟或委托的目的，规范中的这一行更有意义。“有助于在异构环境中或跨安全域共享身份和安全信息“我想说，令牌交换授权类型使用的一个更可能的场景是在分布式系统上下文中，当用户向资源发出请求时，该资源需要向另一个也需要用户验证的服务发出下游请求。这种方法允许更健壮的安全实践，因为它确保在IDP处交换令牌以进行下游访问。这还意味着您可以进一步微调下游servicetoken交换是标准化授权类型的声明。不过，Microsoft使用了一个类似的流，称为“代表”，请参阅。对于令牌交换，而不是出于用户模拟或委托的目的，规范中的这一行更有意义。“促进在异构环境中或跨安全域共享身份和安全信息”我想说，令牌交换授权类型使用的一个更可能的场景是在分布式系统上下文中，当用户向一个资源发出请求时，该资源需要从该资源向另一个也需要用户验证的服务发出下游请求。这种方法允许更健壮的安全实践，因为它确保在IDP处交换令牌以进行下游访问。这还意味着您可以进一步微调下游servicetoken exchange是标准化授权类型的声明，但Microsoft使用了一个名为“代表”的类似流程，请参阅以供参考