Esiste un caso d'uso per verificare la firma di un token_id utilizzando una js-app o un'app nativa

3

Diciamo che sto sviluppando un'applicazione basata su client per android / ios o un'applicazione javascript per qualsiasi browser.

Per identificare un utente, userò OpenIdConnect con il flusso implicito. L'IDP fornirà id_token e access_token come richiesto. Le chiamate all'API utilizzata verranno protette tramite JWTBearer-Token inviando il access_token all'API.

Il frontend eseguirà alcune operazioni di sicurezza tramite id_token, ma niente di particolare.

Ora mi sto chiedendo ..
Perché dovrei preoccuparmi di caricare il materiale chiave dall'IDP e controllare se l'id_token è valido?
Quali sono i casi d'uso per le applicazioni native (e js), che lo rendono necessario o utile per verificare la validità di id_token?

    
posta TGlatzer 09.01.2018 - 17:03
fonte

0 risposte

Leggi altre domande sui tag