我正在考虑将 JWT 功能添加到 token 生成系统中,该系统目前支持使用我们自己的签名和自定义算法的 SAML。在这种情况下,我们应该始终拥有 token 的 JOSE header ,还是可以仅生成带有声明的 JWT。
最佳答案
以紧凑序列化表示方式在线路上发送的 JWT 必须始终包含 header ,但如果您不签署 JWT,则可以将该 header 设置为 {"alg":"的 base64 编码值无”}
。
但是,如果您想在您控制和实现的两个系统之间发送它,您只能发送有效负载 JSON 对象,即 JWT 声明集。当然,您将无法使用 JWT 库解析它,但您可以像使用普通 JSON 解析器的任何其他 JSON 对象一样对待它。
关于saml - JOSE header 是 JWT token 的强制部分吗,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28590907/