Auth0-如何在自定义API或后端上信任和保存用户信息？

如何解决Auth0-如何在自定义API或后端上信任和保存用户信息？

我正在尝试找出如何在我的API服务器上“信任”用户信息（例如名称，电子邮件和sub声明之类的信息）以用于本机应用程序。我在这里遵循了auth0的官方React Native快速入门指南：

https://auth0.com/docs/quickstart/native/react-native/

并且我已经在网络上看到了这4或5种方式的迭代。是的，这太好了，我们有一个前端身份验证方法-在前端，我们得到一个id_token和access_token返回给我们。 access_token很好，我完全理解这一点，即我将其保存到设备的本地存储中，将其添加到Authorization标头中，并使用jwt中间件来保护路由（也由auth0提供）自定义API页面）：

var express = require('express');
var app = express();
var jwt = require('express-jwt');
var jwks = require('jwks-rsa');

var port = process.env.PORT || 8080;

var jwtCheck = jwt({
      secret: jwks.expressJwtSecret({
          cache: true,rateLimit: true,jwksRequestsPerMinute: 5,jwksUri: 'https://<myauth0domain>/.well-known/jwks.json'
    }),audience: '<myapiendpoing>',issuer: '<myauth0domain>',algorithms: ['RS256']
});

app.use(jwtCheck);

app.get('/authorized',function (req,res) {
    res.send('Secured Resource');
});

app.listen(port);

现在终于到了我被困的地方：关于id_token，我如何将任何用户ID信息保存到服务器中，并相信它确实是该用户？因为我的应用程序还具有一个用户设置表，用户可以在其中更改个人资料信息，因此可以保存他们的姓名和电子邮件等信息。

当然，我不能仅仅转发id_token用作“可信”身份服务器端。在auth0服务器，设备以及我的API之间存在连接步骤的那一刻，一个不好的角色可能会欺骗id_token中的值-毕竟，它只是JSON。

我当前的解决方案是从后端调用auth0的内置/userinfo端点-您传递了access_token并获取了用户信息，但这显然不是很有效。为了避免出现性能问题，我只需设置帐户信息一次，然后使用sub中的access_token声明（即用户ID）来确定以后的用户身份用户设置相关的端点。 sub声明在通过JWT中间件后 可以信任，对吗？

我能想到的唯一的其他解决方案是将react app上的授权回调URI更改为API上的端点，而不是更改为引回到react native应用的URI，但是我认为这意味着实现整个用户会话和通行证中的护照故事。如果我想对API执行任何基于用户的操作，也许我还是必须这样做吗？

他们说OAuth使事情变得容易得多，但是在这一点上，我真的很困惑于信任用户是否真的是他们所说的服务器端用户。实际上，在UI端使用id_token甚至有什么意义？据我了解，id_token中的值仅出于纯粹的显示目的而可以被“信任”。您永远不能将它们用作服务器请求中的识别键。

解决方法

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。