Должен ли я отправить идентификационный токен на мои ресурсы API?
Он печатает 7 для последнего оператора cos в приведенном выше выражении, это значение равно 6, и оно увеличивается до 7, когда последний оператор печатается
1 ответ
По моему мнению, вам не следует отправлять идентификационный токен на свой ресурс. Идентификационный токен предназначен только для клиентского приложения. Клиент анализирует содержимое токена и использует информацию пользователя. Цель токена доступа состоит в том, чтобы информировать API о том, что канал-носитель токена был авторизован для доступа к API и выполнения предопределенного набора действий в соответствии с заявкой на область действия в токене.
Другой пункт относится к спецификации OpenID Connect. аудитория идентификатора токена (обозначенная заявкой aud) должна быть идентификатором клиента приложения, выполняющего запрос аутентификации. Если это не так, вы не должны доверять токену. И наоборот, API ожидает токен со значением aud, равным уникальному идентификатору API. Так что, по моему мнению, включение заявки на разрешение в маркер доступа было бы лучшим мнением.