OIDC 1.0 声明的大小和数量是否有限制?
Is there a limit on the size and number of OIDC 1.0 Claims?
我认为 OIDC 1.0 声明是一种在身份验证时填充授权信息的好机制。 JWT 中填充的信息量是否有明智的限制,即条目数量和大小?
否,但您可能会达到某些浏览器或基础架构限制。
一些实现将令牌存储在 cookie 中,因此您可能会达到单个 cookie 的大小限制(通常每个 cookie 为 4k 字节)。解决方法是将令牌分成更小的块,这些块将存储在 cookie 中。
令牌通常是请求 header 的一部分,并且 header 缓冲区也受到所用基础设施的限制(例如,nginx 默认有 8k 字节的限制)。当然只有管理好这些设备才能调整这些配置。
我会说典型的 8k 字节技术限制。您可以做更多,但那样用户出现问题的可能性更高。
还值得考虑在隐私和可扩展性方面什么是最好的。
另一种选择是让令牌仅标识调用者,然后在服务器端使用声明缓存解决方案。
https://authguidance.com/2017/10/03/api-tokens-claims/
很多系统都是这样工作的——例如 AWS API 网关。
我认为 OIDC 1.0 声明是一种在身份验证时填充授权信息的好机制。 JWT 中填充的信息量是否有明智的限制,即条目数量和大小?
否,但您可能会达到某些浏览器或基础架构限制。
一些实现将令牌存储在 cookie 中,因此您可能会达到单个 cookie 的大小限制(通常每个 cookie 为 4k 字节)。解决方法是将令牌分成更小的块,这些块将存储在 cookie 中。
令牌通常是请求 header 的一部分,并且 header 缓冲区也受到所用基础设施的限制(例如,nginx 默认有 8k 字节的限制)。当然只有管理好这些设备才能调整这些配置。
我会说典型的 8k 字节技术限制。您可以做更多,但那样用户出现问题的可能性更高。
还值得考虑在隐私和可扩展性方面什么是最好的。
另一种选择是让令牌仅标识调用者,然后在服务器端使用声明缓存解决方案。 https://authguidance.com/2017/10/03/api-tokens-claims/
很多系统都是这样工作的——例如 AWS API 网关。