0
允許第三方客戶端爲我們的資源API創建有效的JWT是否安全?我見過的所有示例都要求我們提供一個驗證服務器,以向授權客戶端發佈JWT。客戶端是否應該創建自己的JWT
A
回答
0
我認爲你需要了解資源服務器(RS)和授權服務器(AS)之間的區別。
如果您相信第三方客戶端代表您執行令牌頒發和驗證,那麼將令牌處理委派給它們是完全正確的。
隨着中說,流量會是這樣:
- 用戶代理訪問你的資源的端點。
- 您的安全鏈檢查用戶是否已驗證會話,如果是,請繼續執行請求。
- 如果沒有,將用戶重定向到帶有令牌的第三方認證端點。
- 成功驗證用戶後,回調恢復資源訪問。
- 如果失敗,請讓用戶訪問拒絕頁面。
相關問題
- 1. SMTP客戶端,我的客戶是否應該自己更改它?
- 2. 發送操作/自己創建的響應來自服務器的客戶端
- 3. 創建自己的郵件客戶端使用PHP,MYSQL
- 4. 我應該在客戶端解碼JWT嗎?
- 5. 客戶端是否可以決定是否創建HttpContext?
- 6. 事件是否應該觸發自己?
- 7. 是否有可能爲Android創建一個「客戶端到客戶端」系統?
- 8. 我應該使用MBaaS平臺(如Parse)還是創建自己的後端?
- 9. 客戶端自己的跟蹤代碼
- 10. 客戶端的app.config創建
- 11. 是否建議爲每個客戶端請求創建線程?
- 12. 是否可以使用適用於Java的Google API客戶端庫創建自定義客戶端?
- 13. 當創建一個客戶端列表時,Address應該是一個struct(類客戶端)?
- 14. ConcurrentHashMap是否自己創建副本?
- 15. 我應該使用basicHttpBinding還是WsHttpBinding來創建安全的Java客戶端?
- 16. 我是否應該使用Asp.net Ajax 4.0客戶端模板?
- 17. 我是否應該爲ios客戶端啓用cors?
- 18. 我是否應該爲其他原因重用Microsoft.NET屬性,還是應該創建自己的屬性?
- 19. 是否可以創建託管的JAX-WS分派客戶端?
- 20. 是否可以創建一個帶電子的tcp客戶端
- 21. 是否可以緩存客戶端動態創建的文件?
- 22. WebAPI接受客戶端的JWT
- 23. 我們是否應該總是關閉JBoss應用程序客戶端的javax.naming.InitialContext?
- 24. RPM創建:在客戶端
- 25. Keynotfoundexception上創建客戶端
- 26. FOSOAuthServerBundle創建客戶端
- 27. JAX-WS客戶端創建
- 28. 創建REST客戶端API
- 29. 我的碼頭圖片是否需要自己的領事客戶端實例?
- 30. 我的OAuth2客戶端是否也可以發出自己的訪問令牌?
我認爲你需要了解資源服務器和認證服務器的區別。如果您信任客戶端,並且在您代表您驗證令牌之後,您可以要求他們重定向回調到您的端點。 – chenrui