对 API 服务器使用 ID 令牌或访问令牌答案

【问题标题】：To use ID Token or Access Token against an API server对 API 服务器使用 ID 令牌或访问令牌
【发布时间】：2019-08-15 12:43:25
【问题描述】：

我有一个 React 应用程序和一个单独托管的后端 API 服务器。我使用 cognito 进行身份验证。当用户登录时，我收到 3 个令牌 - id 令牌、访问令牌和刷新令牌。

我读到 id 令牌用于身份验证，而访问令牌用于授权。

在向 API 服务器发出 API 请求时，我有点困惑应该使用哪个令牌（id 令牌或访问令牌）。

【问题讨论】：

【解决方案1】：

您应该使用访问令牌。是为了授权。当您检查用户是否有权访问资源时，它是授权。

身份验证检查用户身份，因此它可以回答问题 - 这真的是那个用户吗？

这些术语应该理解，所以在这里再读一遍： Authentication versus Authorization

【讨论】：