jwt 令牌中的“gty”声明是啥意思？

Posted 2023-03-10

【中文标题】jwt 令牌中的“gty”声明是啥意思？

【英文标题】：what's the meaning of the “gty” claim in a jwt token?jwt 令牌中的“gty”声明是什么意思？

【发布时间】：2018-09-04 15:46:50

【问题描述】：

我已经使用 'jwt.io' 解码了 JWT 令牌。我在有效载荷部分发现了一个声明“gty”。它的意义和意义是什么。

【问题讨论】：

我找不到任何明确说明这一点的文档，但它似乎是 grant_type 你会发现值为password或client_credentials

谁发布了这个 JWT？还使用了哪些其他声明？

由 'auth0.com' 发布。还有其他几个声明，例如 - 'iss'、'iat'、'exp' 等。

您能告诉我们索赔的价值吗？也许有点帮助。

声明的值为'client-credentials'

【参考方案1】：

gty 不是RFC 7519 中定义的注册声明名称。

虽然我找不到任何明确说明它的参考资料，但似乎 auth0.com 将 gty 用于请求令牌的 grant_type。例如client-credentials 或 password

Here's an example 在 Auth0 社区中，其中提到了 grant_type password 和 gty 声明。

【讨论】：

为我+1，特别感谢您通知 Auth0 特定的 grant_type。这仅与 clientid/secret 组合一起返回，而不是隐式授权，例如，用户在前端应用程序中使用用户名和密码进行身份验证。

可以确认这是正确的。我在 .Net 过滤器中使用它来确定调用者是否是系统（即客户端凭据），然后再检查它们是否具有预期的范围。在我们的例子中，端点需要系统和用户都可以访问。