Jwt में 'ऑड' और 'आइएस' के बीच अंतर

मैं एक अधिक मजबूत प्रमाणीकरण सेवा को लागू करना चाहता हूं और jwtजो मैं करना चाहता हूं उसका एक बड़ा हिस्सा है, और मैं समझता हूं कि कोड कैसे लिखना है, लेकिन मुझे आरक्षित issऔर audदावों के बीच अंतर को समझने में थोड़ी परेशानी हो रही है । मैं समझता हूं कि एक सर्वर को परिभाषित करता है जो टोकन जारी कर रहा है और एक उस एप्लिकेशन को संदर्भित करता है जो उपयोग के लिए अभिप्रेत है। लेकिन जिस तरह से मैं समझता हूं कि मेरे दर्शक और जारीकर्ता एक ही चीज myserver.comटोकन जारी कर रहे हैं ताकि आने वाले लोग myserver.comअधिकृत और प्रमाणित हो सकें। मुझे लगता है कि मैं दो दावों के बीच अंतर नहीं देखता, हालांकि मुझे पता है कि एक है।
वहाँ पर एक अच्छा लेख लिखा गया थाmsdn आरक्षित दावों के सभी पर और यही वह जगह है जहाँ मैं सबसे अधिक भ्रमित हो गया क्योंकि उनके जारीकर्ता और दर्शक पूरी तरह से अलग थे।

ये उन परिदृश्यों के लिए अभिप्रेत हैं जहाँ आपके पास एक टोकन जारी करने वाला प्राधिकारी है जो कि उस एप्लिकेशन के समान नहीं है जो इच्छित प्राप्तकर्ता है।

यह आपके आवेदन के लिए अलग नहीं हो सकता है।

लेकिन एक बड़े पैमाने पर आवेदन पर विचार करें। आपके पास एक OAuth या SSO सर्वर हो सकता है जो प्रमाणपत्र जारी कर रहा है, और एक अनुप्रयोग जो एक टोकन चाहता है जो SSO सर्वर को दिखाता है उपयोगकर्ता की क्रेडेंशियल्स की जाँच की है और उपयोगकर्ता को आवेदन का उपयोग करने की मंजूरी दी है। उस स्थिति में, आपके पास एक टोकन हो सकता है "aud": "aud.example.com"और "iss": "sso.example.com"।