Come funziona l'autorizzazione dopo l'autenticazione usando OpenID Connect

1

Supponiamo che un client ottenga un token ID e acceda al token dal server di autenticazione dopo l'autenticazione riuscita. Il client ora invia una richiesta al server delle applicazioni (la richiesta contiene token di accesso e token ID). A mio avviso, il server delle applicazioni ora deve contattare il server di autenticazione per convalidare questi token. Se i token sono validi, il server delle applicazioni accetta la richiesta. In caso contrario, la richiesta viene respinta. È corretto?

Il problema principale che ho con questa configurazione è l'obbligo di contattare il server di autenticazione per ogni richiesta. C'è un modo standard per evitare questo? È possibile utilizzare una chiave segreta (nota sia all'autore che al server dell'applicazione) per convalidare una firma - simile a JWT. In questo caso qual è la differenza tra OpenID Connect + OAuth2 e JWT?

    
posta simon johnson 26.09.2018 - 11:30
fonte

1 risposta

1

Si invia solo il token di accesso al server delle applicazioni, il token ID viene mantenuto nel client. E non c'è motivo per cui non puoi utilizzare un JWT come token di accesso. In questo caso, è possibile verificare la firma sul server dell'applicazione utilizzando la chiave pubblica del server di autorizzazione.

    
risposta data 26.09.2018 - 19:19
fonte

Leggi altre domande sui tag