Tapkey令牌Exchange返回无效用户的访问令牌

Question

关于tapkey令牌交换流程:当通过jwt api将jwt令牌交换为访问令牌时，我会得到访问令牌响应，甚至用户也不存在。

我的jwt令牌包含以下内容:标头：

{
  "alg": "RS256"
}

有效载荷：

{
  "algorithm": "RS256",
  "aud": "local",
  "iat": 1633339589,
  "exp": 1633343189,
  "iss": "tapkey",
  "sub": "NOT_EXISTING_USER_ID"
}

这引起了以下问题：

当我创建一个

1. 时，会得到一个id和一个ipUserId。jwt的"sub"是返回的id还是"sub"是返回的ipUserId？在这两种情况下，我都能够检索访问令牌，因为无论我在exchanged.
2. what中定义了什么，当移动试图使用不存在的用户访问令牌？

登录时，访问令牌就会发生。

Answer 1

对于令牌交换本身，用户是否已经存在并不重要。它只是验证您的签名令牌，并将其与一个令牌交换为tapkey系统。

jwt令牌的主题应该是您指定的userId (= ipUserId)，它也将用于创建用户：https://developers.tapkey.io/api/ip_users/#create-identity-provider-user

广告2:默认情况下，当移动试图使用带有id的令牌登录到tapkey mobile时(尚未创建)，将导致错误。