听起来像是愚蠢的问题,但我无法从许多文章中找到/推断以下问题的答案。
- 谁是
Issuer?(可能是我们信任的令牌提供者。像"谷歌,Faceboock等",我们的网站接受来自主题的令牌(。 - 谁是
Audience? - 如果我不使用
OAuth和OpenID,我应该验证这两个吗?我的意思是,它们仅用于第三方身份验证/授权(因为我的网站是我自己的令牌的唯一颁发者(? - 如果我的网站不使用第三方进行身份验证和授权,如果我不验证这两个,我应该承担什么风险?
是的
- ,颁发者是令牌的提供者
- 客户端,即OpenID Connect中的接收者,OAuth 2.0中的资源服务器
- 如果 JWT 有受众,收件人应验证它是受众
- 有人使用针对您的服务/API(例如 API A(为不同服务/API(例如 API B(颁发的令牌