我正在建立一个SPA,该SPA必须直接访问用户管理API,还需要授权自定义API。
我使用的库是auth0-js。
根据文档,如果我要访问用户管理API,则必须先到达auth0提供的/authorize端点,以获得accessToken。
我还必须为此提供一个特定的字符串给audience参数。
如果我想授权其他自定义API,则必须通过提供一组不同的参数(包括/authorize)来再次到达audience端点,以获取不同的访问令牌。
我是否有一种简单的方法可以一次进入/authorize端点并获得一个可同时用于User Management API和我的自定义API的访问令牌?谢谢...
答案 0 :(得分:0)
您不应该通过SPA中使用的隐式授权流来获取Management APIv2的访问令牌。仅应使用授权的非交互式应用程序/客户端来获取Management APIv2访问令牌,并且该请求应从安全服务器而不是浏览器发起。这是接收安全令牌的API推荐的方法。您可以在此here上阅读该指南。
您可以使用自己的服务器使用“客户端证书”授予来获取Management APIv2令牌,或者根据用例,通过Auth0规则(在用户身份验证后运行)请求它,并在其中安全地调用其中的Management APIv2端点Webtask容器。你可以阅读它here