¿Cómo funciona la autorización después de la autenticación con OpenID Connect?

1

Supongamos que un cliente obtiene un token de ID y un token de acceso del servidor de autenticación después de la autenticación exitosa. El cliente ahora envía una solicitud al servidor de aplicaciones (la solicitud contiene el token de acceso y el token de ID). A mi entender, el servidor de aplicaciones ahora tiene que ponerse en contacto con el servidor de autenticación para validar estos tokens. Si los tokens son válidos, el servidor de aplicaciones acepta la solicitud. De lo contrario, la solicitud es rechazada. ¿Esto es correcto?

El problema principal que tengo con esta configuración es el requisito de contactar al servidor de autenticación para cada solicitud. ¿Hay una manera estándar de evitar esto? ¿Es posible usar una clave secreta (conocida tanto para el servidor de autenticación como para la autenticación) para validar una firma, similar a JWT? En este caso, ¿cuál es la diferencia entre OpenID Connect + OAuth2 y JWT?

    
pregunta simon johnson 26.09.2018 - 11:30
fuente

1 respuesta

1

Solo envía el token de acceso al servidor de aplicaciones, el token de ID se guarda en el cliente. Y no hay ninguna razón por la que no pueda usar un JWT como token de acceso. En este caso, puede verificar la firma en el servidor de aplicaciones usando la clave pública del servidor de autorización.

    
respondido por el Geir Emblemsvag 26.09.2018 - 19:19
fuente

Lea otras preguntas en las etiquetas