Auth0.com，它是如何运作的？

Posted 2023-03-08

【中文标题】Auth0.com，它是如何运作的？

【英文标题】：Auth0.com, how does it really work?

【发布时间】：2017-10-14 14:51:52

【问题描述】：

我想问一下，当用户自己登录时，谁来生成 JTW 令牌？ 如果用户通过facebook登录，是否意味着facebook ganerates token？ Auth0.com 扮演什么角色？ 谢谢

【参考方案1】：

我猜您正在使用 Auth0 进行身份验证，但您已配置 Auth0 以便用户可以使用其他身份验证提供程序（例如 Facebook）登录。在这种情况下，它总是 Auth0 生成令牌 您从 Auth0 接收到的 - 这样您验证令牌的方法总是相同的（使用 Auth0 公钥），无论它们如何对用户进行身份验证。

但是，用户身份验证由 Auth0 决定 - 完全合法的方法包括：

用户名+密码 一次性密码 使用其他开放 ID 提供程序（例如 Facebook）

在 #3 的情况下，流程再次递归启动，而这次 Auth0 扮演客户端应用程序的角色，而 Facebook 正在生成 JWT。 Auth0 验证 Facebook 生成的令牌，然后使用该令牌证明登录用户就是他们所说的身份，并且可以安全地向您的应用发布自己的 JWT。