Diferença entre 'aud' e 'iss' em jwt

Desejo implementar um serviço de autenticação mais robusto e jwté uma grande parte do que quero fazer, e entendo como escrever o código, mas estou com um pouco de dificuldade para entender a diferença entre as reivindicações isse as reservadas aud. Entendo que aquele define o servidor que está emitindo o token e o que se refere ao aplicativo que se destina a ser usado. Mas o que entendo é que meu público e emissor são a mesma coisa que myserver.comestá emitindo o token para que as pessoas que visitam myserver.compossam ser autorizadas e autenticadas. Acho que não vejo a diferenciação entre as duas reivindicações, embora eu saiba que há uma.
Havia um bom artigo escrito emmsdn em todas as reivindicações reservadas e foi aí que fiquei mais confuso porque eles tinham o emissor e o público completamente diferentes.

— Adam McGurk
fonte

Você pode estar interessado JWT RFC-7519

— LAIV

Eles são destinados a cenários em que você possui uma autoridade emissora de token que não é a mesma que o aplicativo que é o destinatário pretendido.

Isso pode não ser diferente para o seu aplicativo.

Mas considere um aplicativo de grande escala. Você pode ter um servidor OAuth ou SSO que está emitindo os certificados e um aplicativo que deseja um token que mostre que o servidor SSO verificou as credenciais do usuário e aprovou o usuário para usar o aplicativo. Nesse caso, você pode ter um token com "aud": "aud.example.com"e "iss": "sso.example.com".

— Paulo
fonte

Ah eu vejo. Foi um mal-entendido da minha parte porque pensei em duas coisas: 1. Você precisava ter "iss" e "aud" como parte das reivindicações. 2. Eles tinham que ser únicos um para o outro. Obviamente, isso não é verdade. Então, se você tiver um aplicativo como o meu, você incluiria essas duas reivindicações na sua jwtou as excluiria, pois elas seriam idênticas?

— Adam McGurk 5/09

Você certamente poderia deixá-los fora e adicioná-los mais tarde, quando você tem uma razão para usá-lo

— Paul