Можно ли пересылать JWT между двумя пользовательскими службами?

Question

Я использую Azure AD Implicit Flow для аутентификации между SPA и WebApi.

Я хочу знать, будет ли это нормально / сохранить для перенаправления из SPA в мою собственную посредническую службу какхорошо с BearerToken и еще раз отправьте оттуда токен Bearer в WebApi.

Answer 1

Если они принадлежат одному и тому же домену безопасности (т.е. находятся под контролем одной и той же сущности), то в принципе это не проблема. Вы должны принять меры предосторожности против утечки токена / экспозиции, как всегда.