我正在寻找使用开放ID连接保护我的REST API的正确方法。 其余api在其他Web服务器上运行。 基于角度的单页应用程序使用此library获取访问令牌。 访问令牌是“参考令牌”,而不是“ jwt”。是否可以使用任何中间件访问用户信息端点以从身份提供者获取所需的数据,还是我必须编写自己的中间件?
身份提供者:Ping Federate
答案 0 :(得分:1)
好问题
您应该先对令牌进行内部检查,以获得令牌声明
然后根据需要查找用户信息,以获取用户信息声明
出于兴趣,我建议使用一种高性能设计模式: https://authguidance.com/2017/10/03/api-tokens-claims/
从我上面的博客中引用的一些代码示例使用此模式-node / c#/ java中的示例 https://github.com/authguidance-examples
如有任何后续问题,欢迎与我联系,加里