个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我使用的是 IDP 平台(这里是 AWS Cognito,但可以是 Auth0、OKTA 或 Keycloak),我想知道为什么我不鼓励使用 ID Token作为授权 token 。
更具体地说,我不会使用具有从用户到第三方应用程序的授权委托(delegate)的资源服务器。我的 IDP 只会让我在我的不同应用程序上对所有用户进行 SSO。这里没有授予的范围,只有每个服务将用来授予或拒绝访问资源(如电子邮件、用户 ID 或角色)的身份验证声明。
我知道我可以向我的申请提供 id token然后为我的用户创建一些 session 。为什么我不应该使用 id token本身作为无状态 session token ,因为可以在每个应用程序的后端检查其签名?
如果我应该使用 access token过id token - 我可以用角色替换作用域吗?或者我应该如何理解非委托(delegate)上下文中的范围(“用户自己使用应用程序,而不是授予权限”与“用户将所有范围授予 SPA 前端,它本身就是一个应用程序”)
顺便说一下,我是通过前端的代码PKCE流程来恢复 token 的。
最佳答案
ID token 仅包含有关用户以及用户如何进行身份验证的详细信息。所以它非常适合与用户创建更持久的 cookie session 。和 ID-token 的默认生命周期也很短,比如几分钟。您通常会在建立 session 后丢弃 id-token。您永远不应该将 ID token 传递给其他服务。
访问 token 旨在让您访问 token 适用的 API。
当用户登录时,您要求访问某些范围和用户选择(同意)的范围,然后包含在访问 token 中(作为范围和受众声明)。
从理论上讲,您可以将 ID token 传递给 API,而不是它应该如何工作。
见 this和 this更多细节:
关于authentication - 为什么我不应该在 IDP 上下文中使用 IdToken 作为不记名 token ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63901860/
24
4
0
我有一个使用官方 msal 包的 angular8 应用程序 (not the one for angular, the main one)在后端我授权使用 passport-azure-ad (of
我有一个使用官方 msal 包的 angular8 应用程序 (not the one for angular, the main one)在后端我授权使用 passport-azure-ad (of
我正在尝试按照本指南使新的谷歌一键登录工作: https://developers.google.com/identity/one-tap/web/get-started 当我打电话时: const
我正在 ReactJS 中使用 Apollo 客户端与 GraphQL API 进行通信。我们使用 Firebase 身份验证和 JWT 来确保我们的 API 不会向公众公开私有(private)数据
我有一个登录页面,可以使用signInWithEmailAndPassword() 使用 Javascript 客户端 SDK。 如果登录成功,用户将被重定向(连同 idToken)到成员(membe
我正在使用 onAuthStateChanged: this.unregisterAuthObserver = firebase.auth().onAuthStateChanged(user => {
我尝试验证每次请求时从 Azure AD 获取的 IdToken,但我不断收到错误消息,指出 token 上没有签名。当我验证访问 token 时,它可以工作,但我宁愿使用 Id token ,因为它
我正在尝试从 userData 中的 idToken 中解构 payload。 userData 属于 CognitoUserSession 类型。 import { CognitoUser } fr
我在我的 flutter 应用程序中使用 google_sign_in 进行身份验证。 我按照此处记录的步骤开始: https://github.com/flutter/plugins/blob/ma
我有一个 Swift 应用程序,它实现了 Auth0 的 Web 登录。成功登录后,我会收到一个访问 token 和idToken,它们都存储在我的本地钥匙串(keychain)中。下次登录时,我首先
是否可以撤销使用 username 和 password 进行用户身份验证后获得的 AWS Cognito IdToken? 在我的用例中,对 API Gateway 端点的访问受到 Cognito
我的 firebase 前端有以下代码: document.querySelector('#sign-out').addEventListener('click', () => { fir
我使用 AWS Cognito SDK 创建了一个 .net Core API,通过将凭证发布到我的 API 并将 JWT 返回到一个简单的客户端应用程序(纯 HTML/TypeScript)来对用户
我在 Node.js 中有一个后端 API,可从查询参数中检索 Amazon Cognito ID token 。我需要检查此 token 是否有效。有什么方法可以使用 aws-sdk 或 amazo
我有一个为 Android 客户端提供服务的后端,使用从 Android 应用程序发送的 IdToken 对它们进行身份验证。现在,我需要验证在使用我的 api 的 aws 上运行的服务。所以我认为服
我在 Node.js 中有一个后端 API,可从查询参数中检索 Amazon Cognito ID token 。我需要检查此 token 是否有效。有什么方法可以使用 aws-sdk 或 amazo
我有一个为 Android 客户端提供服务的后端,使用从 Android 应用程序发送的 IdToken 对它们进行身份验证。现在,我需要验证在使用我的 api 的 aws 上运行的服务。所以我认为服
有没有办法可以访问在 auth0 规则上下文中创建用户时生成的 idtoken? 我想将用户注册同步到我的后端系统,并需要 auth0 注册会生成的 idtoken。这样我就可以在我的规则触发器中发布
https://developers.google.com/identity/sign-in/android/start?hl=zh-tw 我按照这个页面,一步一步来。 我可以签名、获取 Id、发送电
我正在构建一个带有 rest API 的 Java 服务器,我正在使用 Firebase 对我的用户进行身份验证。 当用户进行重置调用时,他会发送我正在使用下一个方法验证的 Firebase toke
我是一名优秀的程序员,十分优秀!