Ако клиентът създаде собствен JWT - api, идентификация, токен, jwt

Безопасно ли е да позволим на клиент на трета страна да създаде валиден JWT за нашия API за ресурси? Всички примери, които видях, изискват предоставяне на сървър за удостоверяване за издаване на JWT на оторизирани клиенти.

Отговори:

Мисля, че трябва да разберете разликата между ресурсния сървър (RS) и сървъра за оторизация (AS).

Ако имате доверие на клиента на трета страна да извърши издаването и валидирането на знак от ваше име, е напълно добре да го делегирате.

С това казах, потокът ще бъде така:

1. потребител-агент достъп до крайната точка на ресурса.
2. вашата верига за сигурност проверява дали потребителят има удостоверена сесия, ако да, продължете заявката.
3. ако не, пренасочете потребителя към крайна точка за удостоверяване на трета страна с означение.
4. след успешно удостоверяване на потребителя, обратно повикване, за да се възобнови достъпът до ресурса.
5. ако не успеете, отведете потребителя до достъп до страницата за отказване.