Authentication Id令牌与访问令牌_Authentication_Oauth 2.0_Jwt_Authorization_Google Oauth

Authentication Id令牌与访问令牌

authentication oauth-2.0 jwt

Authentication Id令牌与访问令牌,authentication,oauth-2.0,jwt,authorization,google-oauth,Authentication,Oauth 2.0,Jwt,Authorization,Google Oauth,声明我应该始终使用访问令牌来保护API 如果我可以控制我的客户端应用程序和后端API，为什么验证id令牌作为我对API的授权是错误的？使用非对称密钥签名的Id令牌似乎是安全的-我不明白这怎么会比访问令牌更不安全。与其说是安全性，不如说是可用性和语义。一个id\u令牌应该代表一个身份验证事件：它是短暂的，并且（主要）被设计为仅一次性使用，这些属性并不能使它成为API使用的好令牌。我完全理解您关于语义的观点，但我不太明白为什么一开始就有这些区别。一个好的访问令牌也应该是短期的和刷新的，不是吗？它不是

声明我应该始终使用访问令牌来保护API

如果我可以控制我的客户端应用程序和后端API，为什么验证id令牌作为我对API的授权是错误的？使用非对称密钥签名的Id令牌似乎是安全的-我不明白这怎么会比访问令牌更不安全。

与其说是安全性，不如说是可用性和语义。一个

id\u令牌

应该代表一个身份验证事件：它是短暂的，并且（主要）被设计为仅一次性使用，这些属性并不能使它成为API使用的好令牌。

我完全理解您关于语义的观点，但我不太明白为什么一开始就有这些区别。一个好的访问令牌也应该是短期的和刷新的，不是吗？它不是一次性的，应该是更长的寿命；它确实可以刷新，而使用

id_令牌

（因为原则上这不是一个自主操作：它需要用户在场）id_令牌用于希望获取用户信息的客户端。访问令牌用于资源服务器，对应于资源所有者授予客户机的授权。换句话说，每个令牌的目的是完全不同的。Top的链接是404'ed。更新的链接