标签: jwt
在我看来,JWT 是为网络客户端设计的,用于与服务器交互。
因此,假设 Server2 想要通过 REST API 从 Server1 检索资源(在成功验证后也会授予 JWT 令牌)。
我想到的一个想法是假装 Server2 是一个用户。 Server2 可以通过使用 /users/login 和 email 来完成 password POST 请求来伪装成用户。这将为后续资源请求授予 JWT。
/users/login
email
password
但这感觉有点像黑客。
想法、建议?