JWT:验证澳元索赔的正确方法
JWT: correct way to verify AUD claim
我正在管理一个 openId jws,我不确定如何验证 aud 声明。
详细来说,假设我有一个应用程序 ID myapp.site.com,并且我收到一个 aud,其值为 myapp.site.com|*|ANY。我没有找到关于这种格式的规范,但是将 aud 规范读入 https://openid.net/specs/openid-connect-core-1_0.html#IDToken 我应该 explode 字符串 myapp.site.com|*|ANY 使用“管道”作为分隔符,然后验证此数组是否包含方面客户端 ID(即 myapp.site.com)。
我的问题是:* 和 ANY 怎么样?有关于这种格式的一些规范吗?我在哪里可以检索信息?
提前致谢,
模拟
这看起来像是一个自定义的东西,不是我在其他任何地方看到的标准,所以我想您可以按原样解析它。同时,听众的目的是让代币的接收者确定代币是针对它的,而不是其他人。因此,即使签名有效,接受任何令牌也存在安全风险。
我正在管理一个 openId jws,我不确定如何验证 aud 声明。
详细来说,假设我有一个应用程序 ID myapp.site.com,并且我收到一个 aud,其值为 myapp.site.com|*|ANY。我没有找到关于这种格式的规范,但是将 aud 规范读入 https://openid.net/specs/openid-connect-core-1_0.html#IDToken 我应该 explode 字符串 myapp.site.com|*|ANY 使用“管道”作为分隔符,然后验证此数组是否包含方面客户端 ID(即 myapp.site.com)。
我的问题是:* 和 ANY 怎么样?有关于这种格式的一些规范吗?我在哪里可以检索信息?
提前致谢,
模拟
这看起来像是一个自定义的东西,不是我在其他任何地方看到的标准,所以我想您可以按原样解析它。同时,听众的目的是让代币的接收者确定代币是针对它的,而不是其他人。因此,即使签名有效,接受任何令牌也存在安全风险。