授权服务器发布具有发布者详细信息的访问令牌,发布者详细信息在该服务器的众所周知的API中公开。该服务器使用配置有客户端的客户端认证JWT令牌,这些JWT令牌作为从客户端到授权服务器的请求的一部分发送,并且具有授权服务器的声明受众之一,具有URL和端口。现在,问题是众所周知的API应该与(JWT)中的受众具有相同的发布者URL(访问令牌)详细信息,还是JWT受众可以是具有授权服务器端口的不同URL。
0g0grzrc1#
RFC7523中解释了使用JWT作为客户端Assert的规则。这与授权服务器发布的JWT访问令牌不同。典型的头部和有效负载如下所示:
{ "kid": "1", "alg": "RS256" } { "sub": "my-client", "iss": "my-client", "aud": "https://login.example.com/oauth/token", "jti": "7eb87efb-2094-ecf0-531a-357c1d570582", "scope": "read", "iat": 1651070751703, "exp": 1651070811703 }
客户端应用程序有自己的私钥,并使用JWT库来发布JWT。授权服务器用来验证客户端Assert的相应公钥可以粘贴到在授权服务器中注册的OAuth客户端中。或者,可以针对OAuth客户端配置一个外部JWKSURI,然后由提供客户端的一方提供JWKS端点。
1条答案
按热度按时间0g0grzrc1#
RFC7523中解释了使用JWT作为客户端Assert的规则。这与授权服务器发布的JWT访问令牌不同。典型的头部和有效负载如下所示:
客户端应用程序有自己的私钥,并使用JWT库来发布JWT。授权服务器用来验证客户端Assert的相应公钥可以粘贴到在授权服务器中注册的OAuth客户端中。
或者,可以针对OAuth客户端配置一个外部JWKSURI,然后由提供客户端的一方提供JWKS端点。