我有一个node.js API和一个Vue.js客户端应用程序。我希望客户端应用程序的用户使用Auth0的Lock小部件进行登录,该小部件应生成JWT,客户端可以使用该JWT通过Authorization标头查询API。 API将使用我认为的"客户端密钥"来验证JWT。来自Auth0仪表板。这将非常方便,因为您甚至可以使用Auth0插件将我的应用程序部署到heroku,它将生成"客户端ID和密码"对你而言。
麻烦的是,Lock小部件检索我认为被称为"不透明的访问令牌"而不是JWT。我的API不知道如何阅读或验证此令牌,希望拥有"客户端密码。"
我认为这可能是一个相对较新的变化,Auth0建议设置一个" API"在Auth0仪表板中,然后在Lock小部件请求中将其指定为auth.params.audience。但这种方法要复杂得多。 audience属性甚至没有记录在Lock小部件文档中,您必须了解并设置jwks(或使用hs256,即使他们建议反对它),也会询问用户是否要分享他们的他们为您的网站创建的帐户...您的网站...,而且Heroku无法设置" API"对于你喜欢它可以"客户" - 任何点击"部署到heroku"必须设置" API"在Auth0仪表板中手动。
我希望我错过了一些东西,并且可以验证我在第一段中描述的基本方式。感谢您的时间和帮助!