[英]When/where should openid tokens be validated in a pyramid application?
我正在使用金字塔框架編寫一個小型 web 應用程序。 對於身份驗證,我使用雲基礎設施的一項服務,該服務為我提供了一個 javascript web 令牌,我可以使用它來驗證用戶的身份。
我有點不確定如何將其與金字塔合並,特別是因為我發現的大多數示例要么是基於用戶名密碼的身份驗證框架,要么它們自己生成 JWT 令牌(我只是由身份提供者使用這些令牌)。
無論如何,在登錄視圖中,我目前有這樣的邏輯:
.....
user = validate_jwt_token_and_return_user(id_token, ** config)
if user:
headers = remember(self.request, user.id)
raise HTTPFound(location=next_url, headers=headers)
現在看來,我將用戶 ID 存儲為會話 cookie (?) 並且用戶訪問下一個視圖,用戶 ID 是從 cookie 中獲取的?
將 jwt_token 存儲在 cookie 中並在下一個請求中使用它來檢查用戶的登錄嘗試是否有效不是更好嗎?
當然,您可以將 JWT 令牌存儲在 cookie 中。 您選擇身份驗證策略 - 只需編寫一個執行此操作的策略,而不是使用將其存儲在會話中的策略。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.