我很难弄清楚用户对我的API的访问权如何到期/更新。我遵循了快速入门,我的SPA将用户发送到托管登录屏幕,然后将用户以及访问令牌和ID令牌返回到回调页面。
当SPA向我的API发出请求时,它会在请求的“授权”标头中发送ID令牌-SPA接收到的访问令牌不是有效的JWT-API会对我的Auth0域上的jwks文件进行验证。验证后,API然后使用id令牌上的subscription字段在其数据库中找到用户。
这是正确的工作流程吗?令牌到期如何管理?感觉只要是对我的API进行调用的任何东西都具有有效的id令牌,就可以无限期地进行调用。
答案 0 :(得分:0)
我遵循了错误的快速入门!我想要的工作流程是“隐式授予”,在这里进行了描述:https://auth0.com/docs/api-auth/grant/implicit