我目前有一个使用create-react-app前端创建的页面响应网页,以及一个在服务结构上运行并使用OWIN和swagger设置后端的后端。我正在尝试向我的应用添加身份验证/授权。我将前端托管在azure应用程序服务上,因此我通过门户启用了身份验证以使用azure活动目录。我可以通过对/.auth/me进行GET请求来获得令牌,如下所示:https://docs.microsoft.com/en-us/azure/app-service/app-service-authentication-how-to#retrieve-tokens-in-app-code。
这使我想到了第一个问题:使用没有网站后端的单页应用程序时,如何存储此令牌,以便可以将其发送到api的标头中?
现在,当我收到请求并在api上读取访问令牌时,如何验证它是正确的?
如果我遗漏了重要信息或对OAuth2的理解有误,请告诉我。
谢谢