Javascript Auth0中的id\u令牌和access\u令牌有什么区别
在Auth0中,您可以使用。在这个链接中,我们可以看到许多返回的参数:Javascript Auth0中的id\u令牌和access\u令牌有什么区别,javascript,oauth,openid,jwt,auth0,Javascript,Oauth,Openid,Jwt,Auth0,在Auth0中,您可以使用。在这个链接中,我们可以看到许多返回的参数: lock.showSignin({ authParams: { scope: 'openid offline_access' } }, function (err, profile, id_token, access_token, state, refresh_token) { // store refresh_token }); 可用于检索用户配置文件数据。但这似乎是特定于oauth的,我认为auth
lock.showSignin({
authParams: {
scope: 'openid offline_access'
}
}, function (err, profile, id_token, access_token, state, refresh_token) {
// store refresh_token
});
可用于检索用户配置文件数据。但这似乎是特定于oauth的,我认为auth0使用openid
id\u令牌
和access\u令牌
之间有什么区别?OpenID Connect构建在OAuth2之上
可用于调用Auth0中的某些API(例如access\u令牌
)或在Auth0中定义的API/userinfo
id\u令牌是一个标记,代表登录用户。您的应用程序经常使用它
(仅用于移动/桌面应用程序)不会过期(但可以重新登录),它允许您获得新制作的refresh\u令牌
和access\u令牌
id\u令牌
刷新令牌的生存期由(AS)授权服务器决定-它们可能会过期、被吊销等。刷新令牌和访问令牌之间的区别在于访问群体:刷新令牌只返回授权服务器,访问令牌返回(RS)资源服务器
刷新令牌(仅用于移动/桌面应用程序)
您能解释一下吗?其他人似乎规定即使在web应用程序中也要使用刷新令牌:。根据Auth2.0,刷新令牌确实会过期,但其寿命比安全令牌长得多。(在OpenId中可能不是这样)。另外,刷新令牌是可选的,由STS决定是否发送。但是,在隐式授权中,它肯定不会被发送,因为这会有风险,但在授权码授权中,它是可选的。此外,access_令牌也可以是jwt。也可能包含作用域!有关更多详细信息,请参阅:Auth0文档很好地概述了它们的(许多)标记,如您的答案。我们正在使用谷歌的身份验证和ID令牌。因为ID令牌将在60分钟内过期,所以让用户每小时登录一次会很麻烦。但它们不提供自动刷新。有什么建议吗?