In base alla specifica di concessione al portatore di OAuth JWT , un JWT valido deve avere una sorta di identificatore (può essere utilizzato l'endpoint del token) del server di autorizzazione di rilascio del token all'interno della rivendicazione del pubblico.
The JWT MUST contain an "aud" (audience) claim containing a value that identifies the authorization server as an intended audience. The token endpoint URL of the authorization server MAY be used as a value for an "aud" element to identify the authorization server as an intended audience of the JWT. The Authorization Server MUST reject any JWT that does not contain its own identity as the intended audience In the absence of an application profile specifying otherwise, compliant applications MUST compare the audience values using the Simple String Comparison method defined in Section 6.2.1 of RFC 3986 [RFC3986]. As noted in Section 5, the precise strings to be used as the audience for a given Authorization Server must be configured out-of-band by the Authorization Server and the Issuer of the JWT.
Quindi, come possiamo ottenere una JWT con il nostro reclamo del pubblico richiesto da un IDP da utilizzare come concessione al portatore di JWT? È valido utilizzare il token OpenID come concessione al portatore di JWT?