我正在使用自己托管的 FusionAuth。我注册了一些用户,现在想用这些用户登录我的应用程序。首先我尝试使用“api/login”端点,这个只是返回一个令牌,但没有刷新或访问,然后我尝试了 /oauth/token 端点,我必须发送客户端 ID、客户端秘密和范围用于返回 access_token、refresh_token 和 id_token。我想知道这些端点之间的区别。另外,验证令牌的端点是“/api/jwt/validate”吗?或者每个请求中的验证流程是什么,以了解令牌是否有效?
问问题
147 次
1 回答
2
使用端点的登录 API和密码授予/oauth2/token非常相似。如果您想遵循 OAuth2 规范,请使用 OAuth 密码授权。
登录 API 需要applicationId在响应正文中接收刷新令牌,OAuth2 密码授权要求在offline_access请求中提供范围以在响应正文中接收刷新令牌。
这两种情况都假设您已分别在应用程序 OAuth 配置和登录 API 安全设置中启用了刷新令牌。
JWT 可以使用多种机制进行验证,这可能取决于您的用例以及您选择如何执行此操作。
Validate JWT API、Introspect和UserInfo端点都将验证令牌的完整性。
于 2020-01-17T22:07:54.510 回答