0
允許第三方客戶端爲我們的資源API創建有效的JWT是否安全?我見過的所有示例都要求我們提供一個驗證服務器,以向授權客戶端發佈JWT。客戶端是否應該創建自己的JWT
允許第三方客戶端爲我們的資源API創建有效的JWT是否安全?我見過的所有示例都要求我們提供一個驗證服務器,以向授權客戶端發佈JWT。客戶端是否應該創建自己的JWT
我認爲你需要了解資源服務器(RS)和授權服務器(AS)之間的區別。
如果您相信第三方客戶端代表您執行令牌頒發和驗證,那麼將令牌處理委派給它們是完全正確的。
隨着中說,流量會是這樣:
我認爲你需要了解資源服務器和認證服務器的區別。如果您信任客戶端,並且在您代表您驗證令牌之後,您可以要求他們重定向回調到您的端點。 – chenrui