【问题标题】:Can we use Id token to access webapi我们可以使用 Id 令牌访问 webapi
【发布时间】:2018-11-27 09:42:55
【问题描述】:

我完全对 id 令牌和访问令牌感到困惑。 我在很多文章中看到说访问令牌可以用来调用 webapi,但是我们可以使用 id 令牌来调用和验证 webapi

【问题讨论】:

    标签: azure asp.net-web-api azure-active-directory


    【解决方案1】:

    您不应使用 id 令牌访问受保护的 Web API。

    ID Tokens 应用于获取有关用户的信息 - 它不应用于代替访问令牌进行授权。

    Access tokens 使客户端能够安全地调用受 Azure 保护的 API。

    请注意,访问令牌已签名(并且可能会被加密),而 ID 令牌则没有。

    【讨论】:

    • 我们可以从访问令牌中获取用户别名吗?
    • 你不应该破解访问令牌(它可能在未来被加密),但你可以同时请求访问令牌和id令牌。如果您真的想从访问令牌中获取声明,请参阅 System.IdentityModel.Tokens.Jwt nuget 包,其中包含将解码令牌的 JwtSecurityToken 类(前提是您已传递有关 STS 的信息),并公开声明
    • @Chandrasekhar 或者您可以使用jwt.io 解析id token 或access token,然后您可以在token 中找到用户名、电子邮件或电话。
    猜你喜欢
    • 2020-05-02
    • 2021-06-19
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-08-08
    • 2019-11-11
    • 2018-07-14
    • 1970-01-01
    相关资源
    最近更新 更多