用于自定义 API 访问权限的 auth0 令牌
auth0 tokens for custom API access
我无法理解用户如何访问我的 API expires/renews。我遵循了快速入门,据此我的 SPA 将用户发送到托管登录屏幕,然后 returns 用户使用访问令牌和 ID 令牌进入回调页面。
当 SPA 向我的 API 发出请求时,它会在请求的“授权”中发送 id 令牌 header - SPA 收到的访问令牌不是有效的 JWT - API 根据我的 Auth0 域上的 jwks 文件进行验证。验证后,API 然后使用 id 令牌上的订阅字段在其数据库中查找用户。
这是正确的工作流程吗?如何管理令牌过期?感觉一旦调用我的 API 的任何东西都具有有效的 id 令牌,它就可以无限期地调用。
我走错了快速入门!我想要的工作流程是隐式授权,在此处描述:https://auth0.com/docs/api-auth/grant/implicit
我无法理解用户如何访问我的 API expires/renews。我遵循了快速入门,据此我的 SPA 将用户发送到托管登录屏幕,然后 returns 用户使用访问令牌和 ID 令牌进入回调页面。
当 SPA 向我的 API 发出请求时,它会在请求的“授权”中发送 id 令牌 header - SPA 收到的访问令牌不是有效的 JWT - API 根据我的 Auth0 域上的 jwks 文件进行验证。验证后,API 然后使用 id 令牌上的订阅字段在其数据库中查找用户。
这是正确的工作流程吗?如何管理令牌过期?感觉一旦调用我的 API 的任何东西都具有有效的 id 令牌,它就可以无限期地调用。
我走错了快速入门!我想要的工作流程是隐式授权,在此处描述:https://auth0.com/docs/api-auth/grant/implicit