[英]Id tokens vs access tokens
Auth0聲稱我應該始終使用訪問令牌來保護API。
如果我可以同時控制我的客戶端應用程序和后端API,那么為什么將id令牌驗證為我對API的授權為什么會出錯? 用非對稱密鑰簽名的ID令牌似乎很安全-我不知道這比訪問令牌安全性低。
與其說安全,不如說是可用性和語義。 id_token
應該表示一個身份驗證事件:它是短暫的,並且(主要)僅設計為一次性使用。這些屬性不能使其成為API使用的良好令牌。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.