Oauthトークンの有効性

Question

私はトークンの有効性の問題について直面しています：

私は、同じAuthorization Serverを使用する2つ以上のアプリケーションAを持っています。 アプリケーションAユーザーは、正当なトークンを偽造し、それをアプリケーションBと一緒に使用してアプリケーションBにアクセスすることができます。 私のアプリケーションBは機密データとAPIを持っていますので、偽造トークン他のアプリケーションによって。

トークンの有効性を制限するメカニズムはありますか？

敬具、

Answer 1

「本当の」トークンは、時間と範囲に拘束されるだろうが、それは一般的にだけでなく、トークンが実際に発行されましたかどうかをリソースサーバー別名受信者を言うだろうその「観客」が含まれるであろうそれ（または他の誰か）。したがって、トークンの別のサービスへの再生を防ぐメカニズムは、一般に「トークンオーディエンス」と呼ばれます。

OAuth 2.0自体はトークンの内容を定義しませんが、JWTトークンを使用している場合、オーディエンスは「aud」クレームに記録されます。

さらに、スコープメカニズムを使用して、特定のリソースサーバーのコンテキストでのみ有効または受け入れられるスコープを定義することができます。