Tengo una duda sobre el método de autenticación que seguimos. No creas que esto tiene algo que ver con OAuth en este momento.
- El navegador accede a una URL que muestra una página de inicio de sesión.
- Una vez que el usuario inicia sesión en el navegador, tiene un token JWT.
- Ahora usamos este token para acceder a Rest endpoint-1 . No hay verificación de reclamaciones allí porque no pudimos decodificar el token. Este Rest Endpoint-1 a su vez accede a otro backend Rest endpoint-2 que valida las reclamaciones.
Mi pregunta es la siguiente. Rest endpoint-1 no puede emitir su propio token o verificar el token que recibe porque simplemente pasa el token al backend.
¿Debería permitirse esto? ¿Cómo debería arreglarse esto? Otro token?