/oauth/token 对比 /api/login FusionAuth
/oauth/token vs /api/login FusionAuth
我正在使用自己托管的 FusionAuth。
我注册了一些用户,现在想用这些用户登录我的应用程序。
首先我尝试使用 "api/login" 端点,这个端点只返回一个令牌,但没有刷新或访问,然后我尝试了 /oauth/token 端点,我必须发送客户端 ID、客户端密码和返回 access_token、refresh_token 和 id_token 的范围。
我想知道这些端点之间的区别。另外,验证令牌的端点是“/api/jwt/validate”吗?或者在每个请求中验证令牌是否有效的验证流程是什么?
使用 /oauth2/token 端点的 Login API and the Password Grant 非常相似。如果您想遵循 OAuth2 规范,请使用 OAuth 密码授权。
登录 API 需要 applicationId 才能在响应正文中接收刷新令牌,OAuth2 密码授予需要在接收请求中提供 offline_access 范围响应正文中的刷新令牌。
这两种情况都假设您已分别在应用程序 OAuth 配置和登录 API 安全设置中启用刷新令牌。
可以使用多种机制验证 JWT,这可能取决于您的用例,以及您选择如何执行此操作。
Validate JWT API, Introspect and UserInfo 个端点都将验证令牌的完整性。
我正在使用自己托管的 FusionAuth。 我注册了一些用户,现在想用这些用户登录我的应用程序。 首先我尝试使用 "api/login" 端点,这个端点只返回一个令牌,但没有刷新或访问,然后我尝试了 /oauth/token 端点,我必须发送客户端 ID、客户端密码和返回 access_token、refresh_token 和 id_token 的范围。 我想知道这些端点之间的区别。另外,验证令牌的端点是“/api/jwt/validate”吗?或者在每个请求中验证令牌是否有效的验证流程是什么?
使用 /oauth2/token 端点的 Login API and the Password Grant 非常相似。如果您想遵循 OAuth2 规范,请使用 OAuth 密码授权。
登录 API 需要 applicationId 才能在响应正文中接收刷新令牌,OAuth2 密码授予需要在接收请求中提供 offline_access 范围响应正文中的刷新令牌。
这两种情况都假设您已分别在应用程序 OAuth 配置和登录 API 安全设置中启用刷新令牌。
可以使用多种机制验证 JWT,这可能取决于您的用例,以及您选择如何执行此操作。
Validate JWT API, Introspect and UserInfo 个端点都将验证令牌的完整性。