【发布时间】:2017-03-10 02:13:28
【问题描述】:
我遇到了关于我的令牌有效性范围的问题:
我有两个或多个使用同一个授权服务器的应用程序 A。 应用程序 A 用户可以伪造合法令牌并将其提取以与应用程序 B 一起使用并获得对应用程序 B 的访问权限。 我的应用程序 B 有敏感数据和 API,所以我不希望它被任何其他应用程序伪造的令牌访问。
是否有任何机制限制令牌的有效性。
最好的问候,
【问题讨论】:
【发布时间】:2017-03-10 02:13:28
【问题描述】:
“真正的”令牌将在时间和范围上受到约束,但它通常还包括“观众”,这会告诉接收者(也称为资源服务器)令牌是否真的是为它(或其他人)发出的。因此,防止令牌重播到另一个服务的机制通常称为“令牌受众”。
OAuth 2.0 本身并未定义令牌的内容,但如果您使用的是 JWT 令牌,则受众将被记录在“aud”声明中。
除此之外,您还可以使用范围机制来定义仅在特定资源服务器的上下文中有效/可接受的范围。
【讨论】:
-
感谢您的回复....但是我发现 JWT 使用“AZP”声明来识别客户端应用程序。因此,应用程序只需检查 de AZP 字段是否与其 ID 匹配,并接受请求。
-
根据定义,“azp”声明将标识演示者或客户端,而不是资源服务器,即预期的接收者;如果客户端获得了多个访问令牌,这就是事情开始出错的地方