我正在使用ReactJS(前端UI)和Scala(后端API)开发Web应用程序。我已经将后端服务实现为微服务。
在这里,我已经集成了OAuth2授权框架并使用了OAuth访问令牌。经过用户身份验证后,我将在每个后续请求标头中传递OAuth访问令牌。
我确实在某些网站链接中看到,我们应该在OAuth2流中使用JWT令牌而不是“ OAuth访问令牌”来提供安全API。
我应该在现有的OAuth2中集成JWT令牌吗?请分享您的建议。谢谢。
答案 0 :(得分:2)
OAuth2是一种授权协议,并不规定access_token的格式,因此您可以从授权服务器返回一个JWT,其中包含范围/权限和到期时间。
建议您仔细阅读 https://auth0.com/blog/ten-things-you-should-know-about-tokens-and-cookies/#token-oauth