当前位置: 首页 > 知识库问答 >
问题:

使用JWT的Oauth 2.0授权

赫连明诚
2023-03-14

我正在使用JWT令牌在web api 2中实现授权,我对这个领域是新手。我坚持生成AudienceId和AudienceCret的目的,为什么我需要它们?

共有1个答案

韦澄邈
2023-03-14

从OAuth的角度来看,标记是不透明的对象,不包含“受众”声明。如果使用JWT令牌,则可以参考JWT规范RFC7159

4.1.3。“aud”(观众)索赔

“aud”(受众)声明确定了JWT的目标受众。每个打算处理JWT的负责人必须在受众声明中确定自己的价值。如果处理索赔的委托人在提出该索赔时没有在“aud”索赔中确定自己的价值,则必须拒绝JWT。在一般情况下,“aud”值是一个区分大小写的字符串数组,每个字符串都包含一个StringOrURI值。在JWT只有一个受众的特殊情况下,“aud”值可以是包含StringOrURI值的单个区分大小写的字符串。受众价值观的解释通常是针对具体应用的。此声明的使用是可选的。

aud的预期用途是识别令牌的预期收件人。它的使用是可选的,并且取决于应用程序的上下文。可能是在您的Oauth2服务器的文档中指定的用途

还可以查看有关此主题的详细答案

 类似资料:
  • 寻求有关如何进行微服务授权的建议。 我使用spring/spring boot来提供所有的微服务 在使用JWT令牌到达实际微服务之前,我可以通过Spring Cloud网关进行身份验证,但是在授权方面,我不确定如何做到这一点。 我想在内部处理business microservice中每个endpoint的授权。 有没有办法将JWT令牌传递给微服务,或者我需要调用authserver来获取用户中的

  • 我想写一个应用程序,允许与数据交互的两种RESTful形式;常规REST CRUDendpoint和Web-UI。 过去,我在JS中实现了UI的大部分功能,这将调用常规的RESTendpoint。这很好,但对于这个应用程序,我想使用Qute来执行生成页面内容的大部分基本功能。但是,为了正确地管理endpoint并确保正确的RBAC控制,我需要通过cookie而不是普通的头来访问JWT。这似乎是可能

  • 我们必须在我的客户项目中集成OAuth2.0授权代码授予。目前,该应用程序使用本地登录页面。我们需要删除该页面,并将未登录的用户重定向到AS登录页面,。在AS end成功登录后,我们将被重定向到配置的。此时,我的客户端应用程序将如何知道用户已在AS登录?如何在客户端维护会话?另外,我需要用和访问令牌交换auth代码,并将其用于后续的服务器API调用。那么如何实现这一点并将令牌作为标头发送呢? 应用

  • 本文向大家介绍ASP.NET Core使用JWT认证授权的方法,包括了ASP.NET Core使用JWT认证授权的方法的使用技巧和注意事项,需要的朋友参考一下  demo地址: https://github.com/william0705/JWTS 名词解析 认证 : 识别用户是否合法 授权: 赋予用户权限 (能访问哪些资源) 鉴权: 鉴定权限是否合法 Jwt优势与劣势 优势 1、 无状态 tok

  • 目标:Java授权服务器: OAuth2.0授权代码授予细粒度权限流(不仅仅是SSO服务器) 用户管理和身份验证:自定义数据库 客户端管理和身份验证:KeyCloak 在开发中应该使用什么Keycloak适配器/API? 如果用户要出现在Keycloak中,应该如何管理/显示它们? 我是Keycloak的初学者,虽然我认为我理解主要原理,但它似乎是一个丰富的工具,我担心我可能仍然在使用它的最佳方法

  • 我有一个Web api终端,它给我JWT令牌。它不是一个完全授权的服务器。它只是可以生成一个JWT令牌。 现在我有另一个用 aspnet 核心编写的 Web 应用程序。其中在启动中.cs我添加了以下行,以便我可以使用收到的 JWT 令牌进行授权 我也有一个登录表单(在web应用程序中),用户输入用户名和密码,我发送到web api并获得令牌。为了保护web应用程序中的任何控制器,我只使用了[Aut