我正在使用auth0,我有一个前端Web应用程序和一个后端api。 在后端api上,我想获取当前用户的电子邮件。
当前,在网络应用上,我有一个Access_Token
和一个Id_Token
Access_Token是我需要对api进行身份验证的内容,但是没有我需要的用户信息(电子邮件)
Id_Token
可以被解密以向用户发送电子邮件
这是我想要的功能:
如果有人打
GET /friends
我的API仅会为当前通过身份验证的用户获取朋友
最好的方法是什么? 到目前为止,我想到的选择是:
Access_Token
和Id_Token
发送到API,并为用户数据解密Id_Token
Access_Token
,然后在API上使用Access_Token
从auth0请求新的Id_Token
Access_Token
,向其中添加电子邮件,然后进行加密