JWT Token SSO - ¿Este método es permisible?

0

Tengo una duda sobre el método de autenticación que seguimos. No creas que esto tiene algo que ver con OAuth en este momento.

  1. El navegador accede a una URL que muestra una página de inicio de sesión.
  2. Una vez que el usuario inicia sesión en el navegador, tiene un token JWT.
  3. Ahora usamos este token para acceder a Rest endpoint-1 . No hay verificación de reclamaciones allí porque no pudimos decodificar el token. Este Rest Endpoint-1 a su vez accede a otro backend Rest endpoint-2 que valida las reclamaciones.

Mi pregunta es la siguiente. Rest endpoint-1 no puede emitir su propio token o verificar el token que recibe porque simplemente pasa el token al backend.

¿Debería permitirse esto? ¿Cómo debería arreglarse esto? Otro token?

    
pregunta Mohan Radhakrishnan 27.09.2016 - 16:16
fuente

0 respuestas

Lea otras preguntas en las etiquetas