我想问一下,当用户登录时,谁生成JTW令牌? 如果用户通过Facebook登录,则意味着facebook会使用令牌? Auth0.com扮演什么角色? 感谢
答案 0 :(得分:4)
我猜你正在使用Auth0进行身份验证,但是你已经配置了Auth0,以便用户可以使用其他身份验证提供程序(例如Facebook)登录。在这种情况下,它始终生成Auth0,它生成从Auth0 收到的令牌 - 这样,验证令牌的方法始终是相同的(使用Auth0公钥),无论它们如何验证用户。
然而,由Auth0来验证用户 - 完全合法的方式包括:
在#3情况下,进程再次以递归方式启动,而这次Auth0扮演客户端应用程序的角色,Facebook正在生成JWT。 Auth0验证Facebook生成的令牌,然后使用它作为登录用户是他们所声称的用户的证明,并且可以安全地向您的应用发布自己的JWT。