客户应该创建自己的JWT

Question

允许第三方客户为我们的资源API创建有效的JWT是否安全？我见过的所有例子都要求我们提供一个认证服务器，用于向授权客户发布JWT。

Answer 1

我认为您需要了解资源服务器（RS）和授权服务器（AS）之间的区别。

如果您信任第三方客户代表您进行令牌发放和验证，则将令牌流程委派给他们是完全没问题的。

话虽如此，流程将是这样的：

1. 用户代理访问您的资源端点。
2. 您的安全链检查用户是否已通过身份验证会话，如果是，请继续请求。
3. 如果没有，请使用令牌将用户重定向到第三方认证端点。
4. 成功验证用户后，回调以恢复资源访问。
5. 如果失败，请让用户访问拒绝页面。