Jeśli klient tworzy własne JWT - api, uwierzytelnianie, token, jwt

Czy zezwolenie klientowi zewnętrznemu na utworzenie prawidłowego pliku JWT dla naszego interfejsu API zasobów jest bezpieczne? Wszystkie przykłady, które widziałem, wymagają udostępnienia serwera uwierzytelniającego do wystawiania JWT autoryzowanym klientom.

Odpowiedzi:

Myślę, że musisz zrozumieć różnicę między serwerem zasobów (RS) a serwerem autoryzacji (AS).

Jeśli ufasz klientowi trzeciemu, że wyda i zweryfikuje token w Twoim imieniu, możesz mu całkowicie przekazać proces tokenu.

Powiedziawszy to, przepływ będzie taki:

1. klient użytkownika uzyskuje dostęp do punktu końcowego zasobu.
2. Twój łańcuch bezpieczeństwa sprawdza, czy użytkownik ma uwierzytelnioną sesję, jeśli tak, kontynuuj żądanie.
3. jeśli nie, przekieruj użytkownika do punktu końcowego uwierzytelniania strony trzeciej za pomocą tokena.
4. po pomyślnym uwierzytelnieniu użytkownika, wywołanie zwrotne, aby wznowić dostęp do zasobów.
5. jeśli się nie powiedzie, poproś użytkownika o dostęp do strony odmowy.