Ordliste — identitet, JWT og API’er (log ind)

Ordforråd til tokens, identitet og API-kald efter login. Dette er hjælpetekst; præcise claim-navne og adfærd følger Intastellars aktuelle dokumentation og metadata.

OAuth 2.0 vs. OpenID Connect (OIDC)

Betydning: OAuth 2.0 er et autorisations-framework — adgang til ressourcer (ofte API’er). OpenID Connect bygger på OAuth og tilføjer identitet — et ID token og standard claims om brugeren.

I praksis: «Log ind med …»-flows bruger ofte OIDC-scopes (openid) plus OAuth-access tokens til API’er. Din app-registrering og dokumentation viser, hvad Intastellar eksponerer.

ID token

Betydning: Et JWT (som regel), der repræsenterer autentifikation — hvem der loggede ind, for hvilken klient, på hvilket tidspunkt.

I praksis: Valider issuer, audience og levetid på din server, før du stoler på claims; behandl ikke det rå ID token som sessionscookie, medmindre dit mønster udtrykkeligt tillader det.

Access token

Betydning: Legitimationsoplysning, der præsenteres for ressourceservere (API’er) for at vise, at kaldet er tilladt.

I praksis: Typisk kortlivet; forny eller genautentificér efter produktets regler — se Sessioner, cookies og tokens.

JWT (JSON Web Token)

Betydning: En kompakt, signeret (eller krypteret) struktur med header, payload (claims) og signatur.

I praksis: Brug biblioteker til at verificere signaturer mod udbyderens JWKS; dekod og stol aldrig på payload uden kryptografisk verifikation i produktion.

Claim

Betydning: Et navn/værdi-par i et token — f.eks. subject, email, navn.

I praksis: Tilgængelige claims afhænger af scopes og konto-indstillinger; håndter manglende claims robust i dit UI.

`sub` (subject)

Betydning: Stabil identifikator for brugeren inden for issuer — primærnøgle for «denne konto» i mange apps.

I praksis: Foretræk sub + issuer som intern brugernøgle frem for kun e-mail (e-mails kan ændre sig).

`iss` (issuer)

Betydning: Hvem der udstedte tokenet — identificerer autoriseringsserveren.

I praksis: Skal matche den issuer, du har konfigureret; mismatch betyder forkert miljø eller forvekslede tokens.

`aud` (audience)

Betydning: Hvilke klient(er) tokenet er tiltænkt.

I praksis: Afvis tokens, hvor audience ikke matcher din klient/API; forebygger token replay til den forkerte app.

`nonce`

Betydning: Engangsværdi bundet til en autorisationsforespørgsel for at mindske replay i implicit/hybrid-lignende flows og knytte ID token til forespørgslen.

I praksis: Generér pr. loginforsøg; verificér i ID token, når din stack kræver det.

JWKS (JSON Web Key Set)

Betydning: Et publiceret sæt af offentlige nøgler til at verificere JWT-signaturer fra issuer.

I praksis: Din backend bør hente og cache JWKS fra det dokumenterede endpoint; roter nøgler, når udbyderen roterer dem.

Ressourceserver / API-audience

Betydning: Det API, der accepterer access tokens og håndhæver scopes eller politikker.

I praksis: Adskil «login lykkedes» (ID token / session) fra «kald dette API» (access token med korrekt audience og scopes).

Last updated Apr 7, 2026