Допустим, некоторые приложения с именем 'AppX' предоставляют доступ к своим API через токены JWT и используют собственный внутренний независимый проект для предоставления токенов JWT.
Приложение эмитента JWT не включает в себя "iss" - эмитентполе в токене JWT.Таким образом, приложение AppX НЕ проверяет "iss" - эмитента токена JWT.
Я хочу понять пункты ниже как можно глубже:
1) Как кто-то (посторонний / инсайдер) (этический / неэтичный хакер) может использовать это знание / предположить, что AppX не проверяет эмитента?
2) Действительно ли необходимо проверитьэмитент токена (поле iss), поскольку приложение Issuer является внутренним?Учитывая, что любой человек, находящийся снаружи, может сделать запрос на получение токена.
3) Что, если издатель токена JWT не является внутренним, но мы уверены в URL-адресе для запроса токена JWT, требует ли это проверкиэмитент?
4) Какие существуют рекомендации по проверке эмитента?
Вы можете предложить отредактировать / улучшить вопрос / описание.