我正在尝试使用开放ID连接保护我的端点。当前只有一个移动应用客户端。以Google作为身份提供者,我拥有Id_token和access_token。
我的问题是我可以使用身份验证过程中返回的此访问令牌来授权用户访问我的端点吗? 如果是,是否可以在我的服务器中验证访问令牌?
还是我应该为用户创建访问令牌并存储该访问令牌,以便在用户请求时,我将签入DB / Redis吗?
答案 0 :(得分:1)
OpenID connect是“授权”框架OAuth 2.0之上的身份验证层。因此,访问令牌是OAuth客户端访问资源的“授权”。
也许是post may help。
答案 1 :(得分:0)
如@jwilleke所述,OAuth2.0未指定可使用授权服务器验证访问令牌的方式。
因此,我采用的方法是通过检查JWT Id令牌的签名并存储返回的访问令牌来验证它。