我需要为多租户系统构建一个 REST API 层。本质上,用户可以来自不同的租户,我想使用 OIDC。首先,我需要找到一种方法来在令牌中识别用户来自的租户/目录/领域。查看 JWT id_token 我明白我可以使用 iss 声明。例如,对于 Azure AD,我会在其中找到我需要的租户 ID,但是对于 Google,我总是会找到 constant 字符串 https://accounts.google.com。所以看起来 iss 不是要走的路。也许我需要处理 aud 声明?有什么建议吗?
答案 0 :(得分:1)
我猜谷歌有一个静态发行者,因为他们只有一个用户“租户”,而 Azure AD 有多个租户/目录。所以我会使用发行人声明。