在我的项目中,我使用身份服务器4,SPA(Angular(和受保护的API(PHP(。我决定使用引用令牌。我的客户端 (SPA( 使用隐式流(不使用客户端密码是否正确?并在登录后获取访问令牌(调用授权端点(。之后,SPA 必须将令牌发送到 API,以便 API 可以询问身份服务器 4(自检端点(,如果访问令牌正确,并且 API 可以访问用户的信息。
现在我想知道,如何保护通信。由于访问令牌中没有信息,因此是否有必要将他与 jwt 一起发送到 API,或者使用正常的 JSON 发送是否足够?据我了解,API 必须使用 jwt 持有者调用自检端点。
这种方法安全还是我应该做什么?
没有这样的要求 - 使用 JWT 调用内省的 API。如果 API 设置为与 JWT 一起使用,则只需使用 IDS 中的公钥验证令牌的签名。如果它设置为使用引用令牌 - 它将调用自省,以获取用户信息(这是 JWT 的有效负载(。引用令牌文档。
您的 API 需要使用其 ID 和密钥进行保护,以便您可以调用侦测终端节点。
调用它时,您发送引用令牌(它仍然是访问令牌,但它不是 JWT(、client_id和client_secret。请求的内容类型应application/x-www-form-urlencoded,并且应为 POST。
来自侦测端点的响应是用户信息。
不需要额外的安全性 - 客户端 ID 和 Secret 是安全性,并且调用是从 API 到 IDS 的服务器到服务器进行的(当然,假设您落后于https(