Я использую простую аутентификацию на основе токенов, предоставленную OAuth2.0
Я получил токен, который не похож на base64-JWT-токен. Я не вижу, чтобы какой-либо секретный ключ использовался для его создания.
После некоторого поиска, я пришел к следующим основным выводам / вопросам. Посмотрите, может ли кто-нибудь прокомментировать это?
- Токен, полученный от OAuth2.0 (с Katana), не является токеном JWT.
- У этого токена есть несколько разделов, которые можно извлечь на стороне клиента, но строка access_token, отправленная обратно на сервер с последующими вызовами, не может быть декодирована на стороне сервера.
- Сервер не может проверить, получен ли access_token для
последующие звонки истекли или нет.