Sự khác biệt giữa 'aud' và 'iss' trong jwt

Tôi muốn triển khai một dịch vụ xác thực mạnh mẽ hơn và jwtlà một phần lớn trong những gì tôi muốn làm và tôi hiểu cách viết mã, nhưng tôi gặp một chút khó khăn khi hiểu sự khác biệt giữa bảo lưu issvà audkhiếu nại. Tôi hiểu rằng máy chủ xác định máy chủ đang phát hành mã thông báo và máy chủ đề cập đến ứng dụng được sử dụng. Nhưng theo cách tôi hiểu đó là khán giả và nhà phát hành của tôi giống nhau myserver.comđang phát hành mã thông báo để những người đến myserver.comcó thể được ủy quyền và xác thực. Tôi đoán tôi không thấy sự khác biệt giữa hai yêu sách, mặc dù tôi biết có một.
Có một bài viết hay được viết tạimsdn trên tất cả các khiếu nại được bảo lưu và đó là nơi tôi cảm thấy bối rối nhất vì họ có nhà phát hành và đối tượng hoàn toàn khác nhau.

Chúng được dành cho các tình huống trong đó bạn có quyền phát hành mã thông báo không giống với ứng dụng là người nhận dự định.

Điều này có thể không khác nhau cho ứng dụng của bạn.

Nhưng hãy xem xét một ứng dụng quy mô lớn. Bạn có thể có máy chủ OAuth hoặc SSO đang cấp chứng chỉ và ứng dụng muốn có mã thông báo cho thấy máy chủ SSO đã kiểm tra thông tin đăng nhập của người dùng và đã chấp thuận cho người dùng sử dụng ứng dụng. Trong trường hợp đó, bạn có thể có mã thông báo với "aud": "aud.example.com"và "iss": "sso.example.com".