标题说明了一切,真的。例如,如果你有一个来自google的JWT,它有一个aud声明与你的应用程序的id。否则任何网站所有者都可以使用任何JWT登录到任何其他网站。
5vf7fwbs1#
您应该在required_claims中进行配置,所提供的带有参数的声明示例是iss声明:
iss
;[jwt_auth] ; List of claims to validate ; can be the name of a claim like "exp" or a tuple if the claim requires ; a parameter ; required_claims = exp, {iss, "IssuerNameHere"}
但可以改变为不同的权利要求,即:
[jwt_auth] required_claims = iat, exp, {aud, "my-project"}
1条答案
按热度按时间5vf7fwbs1#
您应该在required_claims中进行配置,所提供的带有参数的声明示例是
iss声明:但可以改变为不同的权利要求,即: