Qual è lo scopo del JSON Web Token (JWS) emesso nel campo "iat"?

8

RFC 7519 specifica un campo "iat" facoltativo, che indica quando è stato emesso un token. L'RFC fornisce un breve commento:

This claim can be used to determine the age of the JWT.

Qual è lo scopo del campo "iat"? Ad esempio, perché vorresti determinare l'età di un JWT? Erano presenti obiettivi specifici quando la specifica è stata creata?

Modifica: in particolare, x509 non ha un campo analogo , sebbene possa spesso essere Not Before è molto vicino a "Rilasciato a". Un altro modo di formulare questa domanda è: Perché JWT distingue deliberatamente "Rilasciato a" rispetto a "Non prima?"

    
posta jtpereyda 08.01.2018 - 17:54
fonte

1 risposta

1

What is the purpose of the "iat" field? For example, why would one want to determine the age of a JWT? Were there specific purposes in mind when the spec was created?

"iat" può aiutare il servizio a rilasciare il JWT ad alcuni prendere decisioni da solo invece di dipendere dall'emittente per un tempo di scadenza fisso (suggerito nel commento di Joe sopra). Un emittente del JWT può impostare sia una scadenza "exp" (ad esempio una data fissa a distanza di alcune settimane) sia una data di emissione "iat" - il servizio che riceve il token potrebbe decidere che il tempo di scadenza è troppo lungo, e scartare / espirarlo dopo un giorno (che può calcolare con "iat").

    
risposta data 16.08.2018 - 01:34
fonte

Leggi altre domande sui tag