不同域的oauth2和jwt
不同域的oauth2和jwt
提问于 2022-08-31 08:46:20
这是个好做法吗?(服务1和2属于不同的域)
- 我让用户通过oauth2提供者(如google或github
- )进行身份验证,用户(经过身份验证)希望使用服务;他与api网关
- 联系,使用自己的私钥
- 创建和签名JWT;api网关用JWT
H 110转发用户请求,其中一个服务使用公钥(从秘密管理器获取)验证JWT并执行原始用户请求H 211G 212
回答 1
Stack Overflow用户
发布于 2022-08-31 10:22:03
对于不同的域/资源服务器,还可以使用"aud"声明在JWT中验证令牌的预期接收方,作为附加验证的一部分。如果您的auth服务器在发出令牌时添加aud声明,那么资源服务器可以通过提取aud声明并与域名进行匹配来验证相同的请求。
"aud“(观众)索赔
"aud“(受众)声明标识了JWT的收件人。每个想要处理JWT的主体都必须用受众声明中的值来标识自己。如果当"aud“索赔存在时,处理索赔的主体没有标识其自身与”aud“索赔中的值,则必须拒绝JWT。在一般情况下,"aud“值是一个区分大小写的字符串数组,每个字符串都包含一个StringOrURI值。在特殊情况下,当JWT有一个听众时,"aud“值可能是一个区分大小写的字符串,其中包含一个StringOrURI值。受众价值观的解释通常是特定于应用的。。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/73553205
复制相关文章
相似问题
腾讯云开发者
