Итак, во-первых, почему я использую поток неявного предоставления, даже если у меня есть сервер, который может выполнять поток кода авторизации?
-> Чтобы сервер не выполнял свою работу и чтобы не было необходимости сохранять какие-либо данные с состоянием для проверки токенов (state, nonce).
Так что я использую неявный поток для получения id_token только на стороне клиента (только для JS). Эта часть работает хорошо, я получаю действительный id_token.
Я отправляю id_token на сервер и хочу дважды проверить сервер подписи, чтобы убедиться, что это допустимый токен.
Но две библиотеки, которые я использовал, говорят, что алгоритм не хорош:
- jsonwebtoken
JsonWebTokenError: неверный алгоритм
- nJwt
JwtParseError: Неожиданный алгоритм подписи
Алгоритм RS256.
IDP - это Google.
Почему алгоритм RS256 отклонен этими библиотеками?