JWT: правильный способ проверить требование AUD

Question

Я занимаюсь управлением jws openId и не уверен, как проверить утверждение aud.

В деталях, предположим, что у меня есть идентификатор приложения myapp.site.com и я получаю aud, значение которого равно myapp.site.com|*|ANY. Я не нашел спецификаций этого формата, но, прочитав спецификацию aud в https://openid.net/specs/openid-connect-core-1_0.html#IDToken, я предполагал explode строку myapp.site.com|*|ANY, используя «трубу» в качестве разделителя, а затем проверьте, содержит ли этот массив ожидаемый идентификатор клиента (ie myapp.site.com).

Мой вопрос: что насчет * и ANY? есть какие-то спецификации об этом формате? где я могу получить информацию?

Заранее спасибо,

Сим.

Answer 1

Это похоже на нестандартную вещь, не являющуюся стандартом, которую я видел где-либо еще, поэтому я думаю, вам решать, как ее проанализировать как есть. В то же время цель аудитории состоит в том, чтобы получатель токена был уверен, что токен предназначен для него, а не для кого-то другого. Поэтому принятие любого токена, даже если подпись действительна, представляет собой угрозу безопасности.