客户是不是应该创建自己的 JWT

Posted 2023-03-10

【中文标题】客户是不是应该创建自己的 JWT

【英文标题】：Should client create their own JWT客户是否应该创建自己的 JWT

【发布时间】：2017-11-27 08:11:42

【问题描述】：

允许第三方客户端为我们的资源 API 创建有效的 JWT 是否安全？我见过的所有示例都要求我们提供一个身份验证服务器来向授权客户端发布 JWT。

【问题讨论】：

我认为您需要了解资源服务器和身份验证服务器之间的区别。如果您信任客户端，并且在他们代表您验证令牌后，您可以要求他们重定向到回调到您的端点。

【参考方案1】：

我认为您需要了解资源服务器 (RS) 和授权服务器 (AS) 之间的区别。

如果您信任第三方客户端代表您进行令牌颁发和验证，则完全可以将令牌流程委托给他们。

话虽如此，流程将是这样的：

用户代理访问您的资源端点。 您的安全链检查用户是否有经过身份验证的会话，如果是，则继续请求。 如果没有，则使用令牌将用户重定向到第三方身份验证端点。 用户认证成功后，回调恢复资源访问。 如果失败，带用户访问拒绝页面。