我们对本机应用程序的最佳SSO解决方案进行了一些研究,发现OpenID connect非常适合移动解决方案 .
我们尝试使用iOS库AppAuth作为客户端SDK,以便与OAuth 2.0和OpenID Connect提供商进行通信 . 此解决方案要求客户端在可以向其请求令牌之前使用IDP服务器进行注册 .
OpenID Connect库返回授权授权的访问令牌和在安全JSON Web令牌(JWT)中编码的id令牌 .
我的问题是客户端移动应用程序和客户端后端服务器之间的身份验证方式 .
我们可以使用JWT进行Web服务身份验证吗?客户端后端服务器应该根据一些预请求来验证JWT令牌,例如OP发行者,注册的客户端ID,ID令牌JWS算法......
如果我错过了解,请纠正我,如果可能的话,请用一些链接证明答案作为参考 .