标签: authentication oauth-2.0 jwt authorization google-oauth
Auth0声称我应该始终使用访问令牌来保护API。
如果我同时控制我的客户端应用程序和后端API,为什么将id令牌验证为对我的API的授权是错误的?用非对称密钥签名的ID令牌似乎很安全-我不知道这比访问令牌安全性低。
答案 0 :(得分:1)
与其说安全性,不如说是可用性和语义。 id_token应该表示一个身份验证事件:它是短暂的,并且(主要)设计为一次性使用。这些属性不能使其成为API使用的良好标记。
id_token