Question

Учитывая, что у меня есть токен доступа, сгенерированный с использованием типа предоставления пароля с сервера авторизации. Правильно ли хранить userId внутри токена, чтобы, когда сервер ресурсов расшифровывал токен, он использовал userId при запросе к своей собственной базе данных, чтобы получить, например, все сообщения, сделанные пользователем?

Kavindu Dodanduwa · Answer 1 · 30 января 2020

Краткий ответ: да допустимо иметь автономный токен доступа. Как правило, это придет в виде JWT . Если это так, вы можете извлечь заявку JWT sub ( sub ), чтобы получить идентификатор конечного пользователя.

С другой стороны, если у вас есть непрозрачный доступ токен, вы можете исследовать токен из конечной точки самоанализа токена сервера идентификации. ответ может иметь необязательный субъект (подпретензия), который является идентификатором конечного пользователя.

Как только вы получите идентификатор пользователя, вы можете использовать его.

Как бы вы проверили владельца ресурса, если у вас есть отдельный ресурс и сервер авторизации?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как бы вы проверили владельца ресурса, если у вас есть отдельный ресурс и сервер авторизации?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов