标签: oauth-2.0 jwt auth0
我正在为使用Auth0作为我的Idp的SPA +后端服务器实现带有JWT的oauth2。我遵循了Auth0文档,并找到了一个解决方案,其中我的SPA将它从Idp接收到的id令牌作为Bearer令牌发送到服务器,作为Authorization标头中。服务器从jwks获取公钥,并在响应任何数据之前验证令牌。这行得通,我相信它是安全的。但是在此blog post的注释中,作者声明“此令牌[id_token]不得用于后端的身份验证)”。
为什么不能在后端使用jwt id令牌进行身份验证?