我们正在开发一个带有auth0的项目,用于登录和用户管理。主后端在ExpressJS上使用MongoDB实现。 我们已经实现了auth0,一切都适用于后端。只是想知道将我们的mongoDB上的用户与auth0 DB上的用户链接的正确方法
由于一个独特的" user_id"为auth0上的每个用户分配,如果我们在mongodb中创建具有此id的用户,并且对于每个API调用,客户端(移动应用程序)在标头中发送auth0访问令牌。
要获取有关哪个用户发送请求的参考,客户端(移动应用)是否应该存储" user_id"并使用API请求发送它,或者我们可以得到" user_id"来自访问令牌。
只是认为发送带有每个API请求的user_id会破坏auth0的目的并且可能是一个安全问题
请建议实施此方法的正确方法
答案 0 :(得分:0)
我没有使用Auth0的经验,但访问令牌中的“sub”声明应该包含用户ID。
我会在我的自定义数据库中使用Auth0的用户ID作为id,并从访问令牌的“sub”声明中获取它。