Question

Звучит как глупый вопрос, но я не могу найти / вывести ответ на следующий вопрос из многих статей.

Кто такой Issuer?(вероятно, поставщик токенов, которому мы доверяем. Например, «Google, Faceboock и т. д.», и наш сайт принимает токены из темы).
Кто такой Audience?
Должен ли я проверить эти два, если яне использовать OAuth и OpenID?Я имею в виду, используются ли они только для сторонней аутентификации / авторизации (поскольку мой сайт является единственным эмитентом моих собственных токенов)?
На какой риск мне пойти, если я не проверю эти два, когда мой сайт не использует третьи стороны для аутентификации и авторизации?

Hans Z. · Answer 1 · 09 октября 2018

да, эмитент является Поставщиком токена
Клиента, т.е. принимающей стороны
если у JWT есть аудитория, вы должны подтвердить, что вы являетесь аудиторией
кто-то использует токен, выданный для другого сервиса / API (например, API B), против вашего сервиса / API (например, API A)

Важность проверки эмитента и аудитории в JWT, когда приложение является единственным поставщиком токенов для себя

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.