Wenn Sub- und Aud Anspruch von Nutzlast auf einem System mit JSON Web Token

Question

Ich führe Tests zu verstehen und zu implementieren ein System der Benutzerautorisierung durch die Verwendung von JSON Web Token.

Auf der Suche nach Informationen über die Konfiguration eines Token gibt mir ein paar Fragen über die Verwendung von zwei Claim Payload, der Sub und Aud.

{ 
    "iss": "www.miweb.com", // issuer 
    "iat": 1455550200, // time was issued 
    "exp": 1455559810, // expiration timestamp 
    "nbf": 1455550260, // not before 
    "jti": "31d6cfe0d16ae931b73c59d7e0c089c0", // unique identifier 

    "sub": "", // ¿subject? 
    "aud": "", // ¿? 

    "data": {/* attached data */} 
} 

Von dem, was ich beobachtet habe, ist selten, diese beiden Ansprüche verwendet. Meine Frage ist dann:

Welches Szenario kann verwenden und für welchen Zweck?

Vielen Dank, Grüße

Same in Spanisch Frage Stackoverflow geschrieben: https://es.stackoverflow.com/q/11786/5984

Ps: Sorry für die Sprache, nicht-Domäne.

Herausgegeben: Übersetzung der Kommentare in dem Code

Answer 1

Die Subject ('sub') claim identifiziert den Benutzer oder die Anwendung (im Falle von client credentials flow), die authentifiziert wurde. Der Anspruch Audience ('aud') gibt an, für wen das Token ausgestellt wurde.

Angenommen, meine Clientanwendung muss service A im Namen von user X aufrufen.

Normalerweise würde meine Anwendung mit dem Autorisierungsserver kommunizieren, um den Benutzer zu authentifizieren (z. B. mit einem der OAuth2 grant flows) und Zugriff auf service X anfordern. Der Autorisierungsserver würde den Benutzer authentifizieren und um Zustimmung bitten.

Wenn der Benutzer seine Zustimmung erteilt, gibt der Autorisierungsserver ein JWT-Token mit einem für user X eindeutigen Betreff-Anspruch und einem Zielgruppenantrag aus, der service A angibt.