那么首先,即使我的服务器可以执行授权代码流,为什么也要使用隐式授予流?
->为了避免让服务器来工作,并且避免为了保存令牌(状态,随机数)而必须保存某种状态数据。
因此,我正在使用隐式流来仅在客户端上获取id_token(仅JS)。这部分工作正常,我得到了有效的id_token。
我正在将id_token发送到服务器,并且我想再次检查签名服务器端以确保它是合法令牌。
但是我使用的2个库都说算法不好:
-jsonwebtoken
JsonWebTokenError:无效的算法
-nJwt
JwtParseError:意外的签名算法
算法为RS256。
IDP是Google。
为什么这些方法拒绝RS256算法?