Question

Auth0 утверждают, что я ВСЕГДА должен использовать токен доступа для защиты API.

Если у меня есть контроль и над моим клиентским приложением, и над моим внутренним API - почему неправильно проверятьИдентификатор токена в качестве моей авторизации для моего API?Идентификационные токены, подписанные асимметричными ключами, кажутся безопасными - я не понимаю, как это менее безопасно, чем токен доступа.

Hans Z. · Answer 1 · 29 июня 2019

Дело не столько в безопасности, сколько в юзабилити и семантике.id_token должен представлять событие аутентификации: оно недолговечно и (в основном) предназначено только для одноразового использования. Эти свойства не делают его хорошим маркером для использования API.

Идентификационные токены против токенов доступа

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Идентификационные токены против токенов доступа

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы