Question

Я пытаюсь защитить свою конечную точку, используя соединение с открытым Id. В настоящее время есть только клиент мобильного приложения. С Google в качестве поставщика удостоверений у меня есть Id_token и access_token.

У меня вопрос: могу ли я использовать этот токен доступа, полученный как часть аутентификации, чтобы авторизовать пользователя для доступа к моей конечной точке? Если да, есть ли способ проверить токен доступа на моем сервере?

Или я должен создать для пользователя токен доступа и сохранить его, чтобы при запросе пользователя я проверял в БД / Redis?

Abdul Rahman K · Answer 1 · 26 ноября 2018

Как уже упоминалось @jwilleke, OAuth2.0 не определяет способ проверки токена доступа на сервере авторизации.

Поэтому подход, который я выбрал, заключался в проверке токена JWT Id путем проверки его подписи и сохранения возвращенного вместе с ним токена доступа.

jwilleke · Answer 2 · 04 сентября 2018

OpenID connect - это уровень аутентификации поверх структуры авторизации OAuth 2.0. Таким образом, токен доступа является «Авторизацией» для клиента OAuth для доступа к ресурсу.

Возможно, эта запись может помочь .

Google Open ID Connect

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Google Open ID Connect

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы