【发布时间】:2018-12-21 12:01:19
【问题描述】:
假设我有 5 个应用程序,并且我有一个通用的身份验证服务器。 我的应用程序第一次将页面重定向到身份验证服务器,取回 JWT 令牌,然后允许用户进一步使用该应用程序。
现在用户已准备好使用应用程序,但应用程序的后端不知道令牌是否仍然有效或已过期。那么,每次在处理请求之前调用我的应用程序中的 API 时,我是否应该对我的身份验证服务器进行验证调用?它不会增加额外的开销(多跳)并影响应用程序的响应时间吗?
应用程序是否可以在不向身份验证服务器进行网络调用的情况下自行检查令牌的有效性?应用程序开发人员在使用身份验证服务器进行 SSO 时应遵循哪些最佳做法?
【问题讨论】:
标签: oauth-2.0 jwt single-sign-on