我正在處理一個包含單頁應用程序和後端服務的項目。訪問此應用程序的唯一方法是通過 One Login 帳戶。我的 FE 通過 Oauth2 + Open ID Connect 與 One Login 集成以進行身份驗證。
用戶登錄後,FE 有Access Token和ID Token,因此我們可以獲取一些用戶信息,例如:電子郵件,姓名,... 這對於身份驗證部分很好。
但是對於授權部分,FE需要傳遞一個令牌,它不僅包括用戶信息,還包括用戶角色等授權信息。無論是訪問令牌或ID令牌這些信息。
我目前的解決方案是:BE 將為 FE 提供一個 API,用於將 ID 令牌(它從 One Login 獲得)交換為具有足夠授權信息的內部 JWT 令牌,然後 FE 將使用內部令牌與 BE 進行通信。我想知道這種方法是否存在安全風險,或者有更好的方法嗎?
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句