vue spa认证

Question

我遵循了一些指南，将身份验证添加到我的vue应用程序(它有一个net后端)。

https://medium.com/dev-bits/a-guide-for-adding-jwt-token-based-authentication-to-your-single-page-nodejs-applications-c403f7cf04f4

和

http://jasonwatmore.com/post/2018/08/14/aspnet-core-21-jwt-authentication-tutorial-with-example-api

我是一个初级程序员，有身份验证，所以如果我的问题看起来很愚蠢，请原谅我。

这涉及向我的api登录方法发送用户名和密码，并返回一个jwt令牌(这是一个id_token还是一个访问令牌？)然后，我使用Bearer授权在每个api请求中发送此令牌。一些指南(如microsoft核心文档)具有此jwt令牌，包括角色信息。

这只是jwt身份验证的基本形式吗？我所读到的一些关于令牌身份验证的内容表明，当我登录时，我应该得到一个id令牌，然后用它来交换一个api访问令牌。这些教程似乎没有做到这一点--看起来只有一个令牌，它用于api访问和身份验证。

理想情况下，我希望在我的vue应用程序中实现oidc，但是那里的许多指南似乎没有解决这个问题。

Answer 1

教程讨论的是基于JWT令牌的身份验证，它将发出一个JWT令牌来声明用户及其在应用程序中的访问权限。

当用户尝试使用用户名和密码登录到应用程序时，服务器/api端将对用户进行身份验证，生成令牌并将令牌发送回客户端。下一次客户端可以使用令牌访问服务器/API，这就不需要应用程序或系统记住或存储用户的凭据。您可以使用用户的基本配置文件信息(不敏感)和一些自定义声明(例如与角色相关的声明)。如果要检查授权部分，客户端和服务器端都应该检查特定角色。

Id_token是作为优化添加到OIDC规范(OpenID Connect)中的，这样应用程序就可以知道用户的身份，而不必发出额外的网络请求。它包含用户配置文件信息(如用户名、电子邮件等)，因此如果您使用OpenID Connect (隐式流适合SPA)进行身份验证和授权，您将获得用户标识的id令牌，以及可用于访问受保护资源/API的访问令牌。

您没有使用OpenID连接，因此在这个场景中不涉及id令牌。