作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我使用身份服务器 4 作为身份提供者。
获取成功登录的 token 后,我们将此 token 传递给资源服务器。
我的问题是资源服务器端的身份服务器提供者如何验证提交的 token ?
当我使用 fiddler 观察流量时,我没有看到任何将 token 提交给提供商进行检查的请求。
这意味着资源服务器端的 Identity Server 提供者本身正在验证 token ?
那么为什么我们需要在没有检查权限的情况下提供权限呢?
资源端的身份服务器提供者如何确保它是由有效的 token 提供者发出的?
最佳答案
JWT tokens
是独立的,不需要往返来验证它们在每次使用时仍然有效......只要它们没有过期,它们就是有效的,前提是它们没有被篡改 只涉及签名检查。
您可以设置您的客户端以请求 reference tokens
(并设置您的 API 以接受它们),以及这些 token 将 每次使用时都涉及往返。然后您就可以撤销 token ,而 JWT 则无法做到这一点。
关于authentication - 身份服务器如何在 API 或我们使用 Authorize 属性时验证 token ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42668854/
我是一名优秀的程序员,十分优秀!