如何为OAuth2访问令牌指定受众群体？

2018-06-16 23:43:22

我感到困惑的是，在向授权服务器发送授权请求时，似乎没有标准方式来指定访问令牌的受众。

OAuth2将访问令牌指定为不透明的字符串; 在规范中只有一个提及“观众”的地方，说访问令牌可能是“观众限制”的。许多最近的授权服务器实现似乎产生JWT访问令牌，而JWT指定观众（aud）声明。

据我发现： - Auth0使用“受众”参数 - Connect2id使用“资源”参数 - Identity Server使用固定的基于发行者的值作为'aud'声明，并假定范围足够 - 但是，这不适合所有用例。 - 出色的'OAuth2 in Action'书中显示了'aud'声明中资源服务器URI的例子，但没有说明它来自哪里。

那么，如何以标准方式为特定受众（资源服务器，API，...）获取访问令牌？

我想你是对的。有几个指导可用。 OAuth 2.0授权框架：无记名令牌使用OAuth 2.0：受众信息（draft-tschofenig-oauth-audience-00.txt）

OpenID将一个明确定义的“aud”参数连接为：

需要。此ID标识适用的受众群体。它必须包含依赖方的OAuth 2.0 client_id作为受众价值。它也可能包含其他受众的标识符。在一般情况下，aud值是一组区分大小写的字符串。在常见的特殊情况下，当有一个听众时，aud值可能是一个区分大小写的字符串。

链接地址: http://www.djcxy.com/p/48039.html

上一篇: How to specify audience for an OAuth2 access token?

下一篇: What goes in an OAuth 2.0 access token?