Реестр утверждений токена IANA считается источником стандартных утверждений JWT. Если вас нет в списке - это может быть что угодно, но вы, вероятно, хотите свести к минимуму потенциальные столкновения с дополнительным пространством имен.
UPD кажется, что я неверно истолковал вопрос, и вы скорее предоставляете API для пользователей, которые были авторизованы третьей стороной. Я удалил часть oAuth, которая сейчас кажется неактуальной
. Как я отмечал в комментариях, JWT поставляется с подписью, которую ваш сервер может проверить с помощью сторонних ключей publi c. Таким образом, вы устраняете пару дополнительных вызовов API, чтобы все настроить.
Если вы выберете это, процесс может выглядеть следующим образом:
- Стороннее клиентское приложение (веб ) хочет запустить наше приложение. Он запрашивает токен в своем собственном бэкэнде.
- Бэкэнд стороннего производителя генерирует JWT с правильными
issuer, audience другими необходимыми претензиями и подписывает его своим закрытым ключом - Третья сторона серверная часть возвращает подписанный JWT клиенту
- . Стороннее приложение запускает наше клиентское приложение (веб), передавая JWT
- . Наше приложение вызывает API нашего внутреннего интерфейса с помощью зарегистрированного JWT (серверная часть проверит подпись токена с использованием токена-эмитента и стороннего открытого ключа c).
Проверка является частью стандарта , поэтому большинство библиотек справятся с этим при минимальной конфигурации. Просто знайте об известных проблемах проверки JWT / JWT и устраните их на своей стороне.