除了第6步和第7步之间发生的一切之外,所有其他工作都正常。当后端从浏览器接收访问令牌时,后端如何验证该访问令牌?我假设后端没有调用Auth0来验证该令牌,因为在第6步之后没有返回Auth0的箭头。那么,后端如何知道接收到的令牌是有效的?
我有一个SPA和一个API,我想遵循以下流程: https://auth0.com/docs/flows/concepts/implicit
还有this文档还介绍了如何通过API验证访问令牌?
答案 0 :(得分:0)
在您引用的文档的第6步和第7步之间,您将进入后端以验证此访问令牌。根据您的后端,有大量的快速入门可以帮助您不断向前发展。我将以下文档与有关身份的Auth0视频培训一起链接,以帮助巩固在处理身份验证主题时的坚实基础。请让我知道这是否对您有帮助!
答案 1 :(得分:0)
以下是验证访问令牌的标准方法。
检查访问令牌的格式正确。
验证用于标记访问令牌的签名。在这种情况下,后端应用程序会对JWKS端点执行API调用以检索公钥 https://auth0.com/docs/jwks
验证标准声明
更多详细信息可以在这里找到:
https://auth0.com/docs/api-auth/tutorials/verify-access-token
https://auth0.com/blog/navigating-rs256-and-jwks/
如果您使用任何auth0 SDK,它将按照说明执行验证。
此外,还需要在前端客户端中验证ID令牌。 https://auth0.com/docs/tokens/guides/id-token/validate-id-token