我的node-Api验证我的反应客户端jwt-token有问题

Question

我刚刚开始使用Auth0而且非常酷，但我遇到了一些问题。

我的主要问题是我有一个反应客户端应用程序，它在用户登录时保存了jwt令牌 - 这很棒。但是，当我尝试从单独的Node API获取数据时 - 应该验证令牌的路由会给我错误。

如果我使用第一种身份验证我的节点api，我收到一个错误：UnauthorizedError：必须提供密钥或公钥

const checkJwt = jwt({
  secret: jwksRsa.expressJwtSecret({
        cache: true,
        rateLimit: true,
        jwksRequestsPerMinute: 5,
        jwksUri: "https://smbtodos.auth0.com/.well-known/jwks.json"
    }),
    audience: 'https://localhost:3001/api/jokes/celebrity',
    issuer: "https://smbtodos.auth0.com/",
    algorithms: ['RS256']
});

但是，如果我使用第二种形式的验证，它似乎有效。我担心的是，我并非100％确定它是安全的。如果没有令牌 - 当令牌无效时，此验证会给我这个错误：UnauthorizedError：jwt malformed

const authCheck = jwt({
  secret: 'my-secret',
  // If your Auth0 client was created before Dec 6, 2016,
  // uncomment the line below and remove the line above
  // secret: new Buffer('AUTH0_SECRET', 'base64'),
  audience: 'my-domain'
});

这是我的反应锁文件：

import { setSecret } from './auth'

import uuid from 'uuid'

const getLock = (options) => {
  const config = require('../config.json')
  const Auth0Lock = require('auth0-lock').default
  return new Auth0Lock(config.AUTH0_CLIENT_ID, config.AUTH0_CLIENT_DOMAIN, options)
}

const getBaseUrl = () => `${window.location.protocol}//${window.location.host}`

const getOptions = (container) => {

  return {
    allowedConnections: ['Username-Password-Authentication'],
    container,
    closable: false,
    auth: {
      responseType: 'token id_token',
      domain: 'smbtodos.auth0.com',
      redirectUrl: `${getBaseUrl()}/auth/signed-in`,
      params: {
      scope: 'openid profile email'
      }
    }
  }
}

export const show = (container) => getLock(getOptions(container)).show()
export const logout = () => getLock().logout({ returnTo: getBaseUrl() })

以下是我的api电话：

static getJokes(access){
        console.log(access.token)
        return new Promise((resolve, reject) => {

            fetch('http://localhost:3001/api/jokes/celebrity', {
                    method: 'GET',
                    headers: { 
                         Authorization: `Bearer ${access.token}`,
                    } 
                })
                .then( r => {
                    const result = r.json()
                    return result
                } )
                .then( res => {
                    resolve({jokes: res})
                    console.log('api resp 200');
                })
                .catch(e => {
                    reject(e)
                    // console.log(e)
                })

        });

    }
} 

所以我需要让第一个选项工作以获得更好的安全性，如果是这样的话？ api验证的第二个选择是否同样好？在过去的两天里，我觉得我已经看了100多个教程，他们要么是不合时宜的，要么就是不容易理解。我使用的是最新版本的Auth0。

寻求任何帮助 - 谢谢。