от
Я знаю, как работают OAuth2 и OpenID Connect. Но все еще есть некоторая путаница, беспокоящая меня. Мы разрабатываем собственный Auth Server, сервисный API и мобильное приложение. Итак, клиентское приложение является доверенным, и мы используем тип предоставления «пароль». Пользовательский репозиторий приложения следует той же базе данных пользователей на сервере аутентификации. Наши клиенты входят в приложение по имени пользователя / паролю. Затем приложение отправляет учетные данные пользователя в конечную точку токена Auth Server, которая возвращает клиенту токен доступа (однонаправленный) и токен ID (JWT). Идентификационный токен содержит основную информацию о пользователе, поэтому приложение может приветствовать пользователя, например «Добро пожаловать, Тони Старк!». Маркер доступа может использоваться для доступа к API (например, для обновления профиля пользователя). OAuth по замыслу не является инструментом для аутентификации. Ссылка: https://www.scottbrady91.com/OAuth/OAuth-is-Not-Authentication Мои вопросы 1) Нужно ли проверять подпись идентификатора токена, если клиент заинтересован только в получении информации о пользователе? Также обратите внимание, что идентификатор токена поступает из конечной точки токена через соединение https. 2) Давайте забудем о ID токене. Можем ли мы считать, что пользователь прошел проверку подлинности (т. Е. Успешно выполнен вход в систему), если клиент получает токен доступа с сервера проверки подлинности? Этот поток очень похож на простой пароль входа без OAuth. 3) Клиент может получить доступ к защищенным API с помощью токена доступа. Без маркера доступа клиент может вызывать только некоторые общедоступные API. Это эквивалентно тому, что можно сделать с и без входа в систему? Похоже, маркер доступа можно рассматривать как «cookie сеанса входа в систему». 4) В моем случае нет участия третьих лиц. Все (клиент, сервер аутентификации, сервис API) разработано и принадлежит одной организации. Имеет ли смысл использовать OAuth?              

Ваш ответ

Отображаемое имя (по желанию):
Конфиденциальность: Ваш электронный адрес будет использоваться только для отправки уведомлений.
Анти-спам проверка:
Чтобы избежать проверки в будущем, пожалуйста войдите или зарегистрируйтесь.
Добро пожаловать на сайт ByNets, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...