Я сделал сервер идентификации 4 с .net CORE api и Angular SPA в качестве клиента.
Я успешно вошел в систему на / connect / token конечной точке сервера идентификации.
Каждый вызов, который я сделаю API, будет с этим токеном в заголовке (будет [авторизован]).
Мой вопрос: если кто-то получит мой токен и вставит его в заголовки запроса, он может выдать себя за меня. Как я могу проверить токен, если тот, кто его использует, является реальным владельцем?
Есть ли на Identity Server 4 конечная точка, которая сделает это для меня?
Я также хочу знать и понимать концепцию.
Спасибо!