¿Existe un caso de uso para verificar la firma de un id_token usando una aplicación js o una aplicación nativa?

3

Supongamos que estoy desarrollando una aplicación basada en cliente para Android / ios o una aplicación javascript para cualquier navegador.

Para identificar a un usuario, usaré OpenIdConnect con el flujo implícito. El IDP proporcionará id_token y access_token según lo solicitado. Las llamadas a la API utilizada se protegerán a través de JWTBearer-Tokens enviando el access_token a la API.

El frontend hará un ajuste de seguridad a través del id_token, pero nada sofisticado.

Ahora me estoy preguntando ...
¿Por qué debería importarme cargar el material clave del IDP y verificar si el id_token es válido?
¿Qué son los casos de uso para aplicaciones nativas (y js), que hacen que sea necesario o útil verificar la validez de id_token?

    
pregunta TGlatzer 09.01.2018 - 17:03
fuente

0 respuestas

Lea otras preguntas en las etiquetas