oauth2.0 由授权服务器颁发的不记名JWT令牌客户端身份验证和访问令牌

tf7tbtn2  于 2023-02-15  发布在  其他
关注(0)|答案(1)|浏览(125)

授权服务器发布具有发布者详细信息的访问令牌,发布者详细信息在该服务器的众所周知的API中公开。该服务器使用配置有客户端的客户端认证JWT令牌,这些JWT令牌作为从客户端到授权服务器的请求的一部分发送,并且具有授权服务器的声明受众之一,具有URL和端口。
现在,问题是众所周知的API应该与(JWT)中的受众具有相同的发布者URL(访问令牌)详细信息,还是JWT受众可以是具有授权服务器端口的不同URL。

0g0grzrc

0g0grzrc1#

RFC7523中解释了使用JWT作为客户端Assert的规则。这与授权服务器发布的JWT访问令牌不同。典型的头部和有效负载如下所示:

{
  "kid": "1",
  "alg": "RS256"
}
{
  "sub": "my-client",
  "iss": "my-client",
  "aud": "https://login.example.com/oauth/token",
  "jti": "7eb87efb-2094-ecf0-531a-357c1d570582",
  "scope": "read",
  "iat": 1651070751703,
  "exp": 1651070811703
}

客户端应用程序有自己的私钥,并使用JWT库来发布JWT。授权服务器用来验证客户端Assert的相应公钥可以粘贴到在授权服务器中注册的OAuth客户端中。
或者,可以针对OAuth客户端配置一个外部JWKSURI,然后由提供客户端的一方提供JWKS端点。

相关问题