Je crée un jwt pour un jeton api. Je mets l'ID utilisateur dans ce jwt donc je sais qui appelle dans l'api. Où dois-je mettre l'ID utilisateur dans le jwt.
J'ai vu de nombreux exemples différents qui le mettent en "sub", "aud" et même "iss". Ce qui est correct le cas échéant. Ou l'ID utilisateur est-il enregistré sous un nom non enregistré?
La revendication sub
est la bonne revendication pour l'identifiant utilisateur. La revendication aud
identifie le destinataire prévu du JWT et la iss
identifie l'émetteur/créateur. Toute autre interprétation de ces revendications n'est pas conforme aux normes, voir: https://tools.ietf.org/html/rfc7519#section-4.1