Я работаю над внедрением JWT access_token OAuth 2.0 на моем сервере аутентификации. Но я не знаю, каковы различия между требованиями JWT "aud" и значением заголовка client_id http. Они одинаковы? Если нет, можете ли вы объяснить разницу между этими двумя?
Мое подозрение заключается в том, что "aud" следует ссылаться на сервер ресурсов, а client_id должен ссылаться на одно из клиентских приложений, распознаваемых сервером аутентификации (например, веб-приложение или приложение IOS).
В моем текущем случае мой сервер ресурсов также является моим клиентом веб-приложения.