我有一个通过Azure AD使用开放ID身份验证的Web应用程序。它需要与使用相同形式的身份验证的另一个Web服务交叉来源。是否通常允许将相同的令牌传递给其他Web服务?
我知道,例如,我无法通过原产地传递cookie。 JWT令牌中是否有内置保护会导致类似的问题?
JWT只是一种编码声明的方法。饼干是不同的。最终,它们只是通过请求/响应头在客户端和服务器之间来回传递的数据。 JWT与其传输方式无关,cookie与传输的数据无关。实际上,auth cookie等的数据现在通常是JWT。
所以,不,一般来说,没有适用于JWT的跨源策略,因为它只是一种编码某些数据的方式。但是,JWT几乎总是至少签名,并且通常也是加密的。为了安全地读取已签名的JWT,您将需要共享签名密钥,当然要读取加密的JWT,您将需要共享加密密钥或来自公钥/私钥的私钥。当使用非对称加密时对。
无论长短,取决于你正在做什么,“分享”JWT可能是不可能或不可行的,即使交叉起源在技术上不是问题。
通常使用像AD这样的集中式身份验证,每个应用程序独立地使用身份服务器进行身份验证,而不是将收到的令牌传递给另一个。
不,JWT没有内置原点保护。这只是一个象征