WSO2 JWT 交换与 OAuth2 访问令牌

Question

我有问题。

1. WSO2 是否支持类似于： https://docs.wso2.com/display/AM190/Exchanging+SAML2+Bearer+Tokens+with+OAuth2+-+SAML+Extension+Grant+Type 使用 JWT 而不是 SAML？

   是否可以使用 Facebook/Google 作为联合身份提供者来实现它？

还有一个：

2. 我们可以在 WSO2 Api 管理器中使用 JWT 令牌而不是 OAuth2 访问令牌来授权传入请求吗？

谢谢

Answer 1

Does WSO2 support something similar to: https://docs.wso2.com/display/AM190/Exchanging+SAML2+Bearer+Tokens+with+OAuth2+-+SAML+Extension+Grant+Type using JWT instead of SAML?

是的，确实如此。为此，我们有 JWT Bearer Grant 实现。 JWT Grant 背后的想法是，根据 [1] 由受信任的 IDP 颁发的有效签名 JWT 可以交换为 access_token。按照 [2] 试用 JWT Bearer Grant。

Facebook 和 Google 以 id_token 的形式发布 JWT。但是目前使用这些 id_token 作为 JWT Bearer Grant 存在问题。根据规范 [1]，JWT Bearer Grant 必须在 'aud' 声明中包含一些值，以让验证不记名授权的实体认为这是针对他们的。目前我们无法对任何 OpenID Connect 提供商执行此操作，即。没有标准的方法来请求 OIDC 提供者给我们一个令牌，我们可以在 'X' 身份提供者处使用。

Can we use JWT token instead of OAuth2 Access Token in WSO2 Api Manager to authorize incoming requests?

AFAIK，开箱即用是不可能的。一种解决方案是使用 JWT 通过 JWT Bearer 授权类型获取访问令牌。然后使用 access_token APIM。

[1] https://datatracker.ietf.org/doc/html/draft-ietf-oauth-jwt-bearer-12#section-3

[2] https://docs.wso2.com/display/ISCONNECTORS/JWT+Grant+Type+for+OAuth2