Czy zezwolenie klientowi zewnętrznemu na utworzenie prawidłowego pliku JWT dla naszego interfejsu API zasobów jest bezpieczne? Wszystkie przykłady, które widziałem, wymagają udostępnienia serwera uwierzytelniającego do wystawiania JWT autoryzowanym klientom.
Odpowiedzi:
0 dla odpowiedzi № 1Myślę, że musisz zrozumieć różnicę między serwerem zasobów (RS) a serwerem autoryzacji (AS).
Jeśli ufasz klientowi trzeciemu, że wyda i zweryfikuje token w Twoim imieniu, możesz mu całkowicie przekazać proces tokenu.
Powiedziawszy to, przepływ będzie taki:
- klient użytkownika uzyskuje dostęp do punktu końcowego zasobu.
- Twój łańcuch bezpieczeństwa sprawdza, czy użytkownik ma uwierzytelnioną sesję, jeśli tak, kontynuuj żądanie.
- jeśli nie, przekieruj użytkownika do punktu końcowego uwierzytelniania strony trzeciej za pomocą tokena.
- po pomyślnym uwierzytelnieniu użytkownika, wywołanie zwrotne, aby wznowić dostęp do zasobów.
- jeśli się nie powiedzie, poproś użytkownika o dostęp do strony odmowy.