我正在考虑将JWT功能添加到令牌生成系统,该系统目前使用我们自己的签名和自定义算法支持SAML。在这种情况下,我们是否应始终拥有令牌的JOSE标题,或者我们是否可以仅使用声明生成JWT。
答案 0 :(得分:1)
以紧凑的序列化表示形式在线路上发送的JWT必须始终包含标题,但如果您未对JWT进行签名,则可以将该标头设置为base64编码的{"alg":"none"}值。 / p>
但是,如果要在您控制和实现的两个系统之间发送它,则只能发送有效负载JSON对象,即JWT声明集。当然,您将无法使用JWT库对其进行解析,但您可以像使用普通JSON解析器的任何其他JSON对象一样对待它。