簡體 English 中英

ID 令牌和訪問令牌處理

[英]ID token and access token handling

原文 2022-09-26 08:55:37 2 1 .net/ security/ oauth/ openid-connect

我讀了一點關於 OAuth 和 OIDC 協議的內容。 還有一個我覺得有點難以理解的概念：ID 令牌是由應用程序客戶端讀取的，而訪問令牌是由 API 讀取的。

但這並不止於此，我還閱讀了諸如 ID 令牌用於前端和訪問用於后端的內容。

對我來說這很令人困惑，例如：我使用 .net、前端和后端創建了一個 web 應用程序。 當我登錄時，客戶端同時擁有 ID 和訪問令牌。

此外，訪問令牌被發送到客戶端/前端看不到的服務器，以防止黑客竊取令牌。 對於某些人來說這似乎很明顯，但我不能很好地理解它，因為兩個令牌 go 首先通過客戶端。 （我只是在談論純粹的基礎，而不是分裂令牌或幻像令牌或類似的東西）

有人可以請教我這個問題嗎？

1 個解決方案

ID 令牌的主要目的是允許客戶端創建基於用戶 cookie 的 session。 之后，ID-token 沒有任何用途； 令牌的生命周期通常很短，在某些設置中為 5 分鍾。 ID 令牌通常描述誰被認證和關於用戶的聲明/事實。 理論上，客戶端可以在創建本地 session 后丟棄 ID-token。

客戶端通常還會收到一個訪問令牌，它可以用來訪問后端 API。 客戶端還可以請求刷新令牌以在訪問令牌到期時自動更新訪問令牌。

處理刷新令牌

[英]Handling Refresh Token

.net services.AddHttpClient 自動訪問令牌處理

[英].net services.AddHttpClient Automatic Access Token Handling

如何僅在 id_token 中而不在 access_token IdentityServer4 中包含聲明

[英]How to include claims only in id_token but not in access_token IdentityServer4

Azure訪問令牌不起作用

[英]Azure access token not working

Azure Graph API：在 Quartz.NET 計划作業中處理訪問令牌

[英]Azure Graph API: Handling access token in Quartz.NET scheduled job

DocuSign JWT 無效的訪問令牌

[英]DocuSign JWT Invalid Access Token

是否可以在OWIN中續訂訪問令牌

[英]Is it possible to renew the access token in OWIN

如何在令牌響應中解碼蘋果登錄 id_token

[英]How to decode apple sign-in id_token in token response

刷新令牌請求是否應包含過期的 jwt 訪問令牌？

[英]Should refresh token request includes the expired jwt access token?

我應該如何將我的刷新令牌換成新的訪問令牌？

[英]How should I exchange my refresh token for a new access token?

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 處理刷新令牌 .net services.AddHttpClient 自動訪問令牌處理如何僅在 id_token 中而不在 access_token IdentityServer4 中包含聲明 Azure訪問令牌不起作用 Azure Graph API：在 Quartz.NET 計划作業中處理訪問令牌 DocuSign JWT 無效的訪問令牌是否可以在OWIN中續訂訪問令牌如何在令牌響應中解碼蘋果登錄 id_token 刷新令牌請求是否應包含過期的 jwt 訪問令牌？我應該如何將我的刷新令牌換成新的訪問令牌？

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM