我有一个React应用程序和一个后端API服务器,它们分别托管。我使用cognito进行身份验证。当用户登录时,我收到3个令牌-id令牌,访问令牌和刷新令牌。
我已阅读到ID令牌用于身份验证,而访问令牌用于授权。
对于向API服务器发出API请求时应该使用哪个令牌(id令牌或访问令牌),我有些困惑。
答案 0 :(得分:2)
您应该使用访问令牌。它用于授权。当您检查用户是否有权访问资源时,它就是授权。
身份验证会检查用户身份,因此可以为您提供答案-这真的是该用户吗?
这些术语应该包含在内,因此请在此处再次阅读: Authentication versus Authorization