假设我在somedomain.com上有一个要保护的API。单页应用客户端希望使用它,并在auth.somedomain.com上为其应用设置身份验证端点。该应用程序由coolapps.com提供。
您是否会将coolapps.com放入在此特定于应用程序的身份验证端点上成功登录的JWT令牌中?假设浏览器没有行为不端,那么该令牌可能仅限于从coolapp.com加载的脚本,而不是任何其他域。
允许的域名是否会进入' aud' JWT令牌的字段(目标受众)?
===
注意,目的是防止跨站点请求伪造。 API必须允许一些跨域请求,以便第三方站点上的应用程序可以访问它。将进行额外检查以确保身份验证令牌与请求来自的域匹配。
答案 0 :(得分:0)
是的,当auth.somedomain.com提供令牌不仅仅是coolapps.com时,这变得非常重要。如果没有受众,来自一个域的管理员/应用开发者可以将他们的令牌重放到另一个域以冒充最终用户。
如果您有更精细的应用程序格局,即不同的管理员在子域,甚至在同一个域上管理的不同应用程序,您可以选择使用{{1}中的子域或单个应用程序标识符来进一步限制受众} field。