Auth0声称我应该始终使用访问令牌来保护API。如果我可以控制我的客户端应用程序和后端API -为什么将id令牌验证为我的API授权是错误的?使用非对称密钥签名的ID令牌似乎是安全的-我不明白这为什么不如访问令牌安全。
7ajki6be1#
这与其说是关于安全性,不如说是关于可用性和语义。id_token应该表示身份验证事件:它是短暂的,(主要)设计为一次性使用,这些属性并没有使它成为API使用的好标记。
id_token
xa9qqrwz2#
来自Auth 0的访问令牌实现了Sender constraint principle,这使得令牌在被攻击者使用时无效。你提到的文章可能有点令人困惑,因为你可能认为他们在谈论任何访问令牌,而实际上他们是专门谈论他们的。记住这一点,大多数其他令牌将具有相同的安全级别,只要它们到期并可以刷新。区别在于目的/语义,如其他答复中所述。
2条答案
按热度按时间7ajki6be1#
这与其说是关于安全性,不如说是关于可用性和语义。
id_token应该表示身份验证事件:它是短暂的,(主要)设计为一次性使用,这些属性并没有使它成为API使用的好标记。xa9qqrwz2#
来自Auth 0的访问令牌实现了Sender constraint principle,这使得令牌在被攻击者使用时无效。你提到的文章可能有点令人困惑,因为你可能认为他们在谈论任何访问令牌,而实际上他们是专门谈论他们的。
记住这一点,大多数其他令牌将具有相同的安全级别,只要它们到期并可以刷新。区别在于目的/语义,如其他答复中所述。