De acuerdo con la OAuth JWT Bearer grant spec spec , un JWT válido debe tener algún tipo de identificador (se puede usar el punto final del token) del servidor de autorización de emisión de token dentro de la declaración de audiencia.
El JWT DEBE contener un reclamo "aud" (audiencia) que contenga un valor que identifica el servidor de autorización como un propósito audiencia. La URL del punto final del token del servidor de autorización PUEDE ser utilizado como un valor para un elemento "aud" para identificar el Servidor de autorizaciones como público objetivo de la JWT. los El servidor de autorización DEBE rechazar cualquier JWT que no contenga su propia identidad como la audiencia prevista en ausencia de un perfil de aplicación especificando lo contrario, aplicaciones compatibles DEBE comparar los valores de audiencia usando la cadena simple Método de comparación definido en la Sección 6.2.1 de RFC 3986 [RFC3986]. Como se señaló en la Sección 5, las cadenas precisas que se utilizado como audiencia para un Servidor de Autorización dado debe ser configurado fuera de banda por el Servidor de Autorización y el Emisor de la JWT.
Entonces, ¿cómo podemos obtener un JWT con nuestro reclamo de audiencia requerido de un IDP para ser utilizado como una concesión de portador de JWT? ¿Es válido utilizar el token de OpenID como una concesión de portador JWT?