Только начал втыкать в jwt и, что-то в тупике. Есть сервер авторизации и и сервер приложения. юзер со своими логином и паролем идет на сервер авторизации, а он ему в ответ выдает токен. теперь с этим токеном юзер идет на сервер приложения и делает апи-запросы. например юзеру надо получить информацию о себе (имя, список прав, группу в которой состоит, телефон, дата регистраци, ну и прочая инфа). сервер приложения смотрит на токен, понимает что перед ним юзер с валидным токеном, но как теперь сервер должен понять, что перед ним юзер с токеном, это именно вася, а не петя или маша? или поулчается что всю эту инфу нужно хранить на сервере авторизации? плиз разжуйте и в рот положите.
я вам про кислое, вы мне про мягкое. я понимаю что такое jwt. мой вопрос возможно и не о jwt даже, а о компетенциях сервера авторизации. его задача тупо генерить токены или он еще может отдавать инфу о ползователе? просто сейчас токены генерируется на сервере А, а все данные лежат на сервере Б. а и б ничего друг о друге не знают и не общаются. т.е. в payload токена нужно какойто индефикатор положить что бы Б понял что петины данные нужно отдать пете. т.к. комуникации между А и Б нет, то я непонимаю, чем может быть этот индефикатор. ну если только email, но я думаю что это не очень хорошая идея, т.к. данные в payload не зашифрованы
egyptForce, очень грустно что вы не ознакомились с теми материалами что я дал. Там как раз есть про авторизацию и аутентификацию. Но постараюсь вам таки ответить по пунктам.
1. Есть Authorization Server и есть Resource Server. Первый только выдает токены, а второй данные.
2. У всех (или почти всех) сервисов есть API по которому можно получить данные пользователя
3. Данные пользователя выдаются по токену. В токене написано от чьего имени выполняется операция (как ваш паспорт)
4. токен может быть украден. Поэтому токенов несколько - есть Access Token и Refresh Token. Токены имеют срок жизни, поэтому регулярно их надо обновлять
5. в OIDC есть еще ID токены, с ними интереснее и безопаснее
В токене написано от чьего имени выполняется операция
можно подробнее? можно пример того, что нужно положить в токен, чтобы RS понял что человек с токеном это петя, а не вася и смог отдать пете данные его профиля. просто AS в моем случае тупо генерирует токены по пришедшим к нему логину и паролю, и понятия не имеет что вне AS есть какая-то жизнь
egyptForce, прочитайте про генерацию сигнатур и валидацию токенов JWT. Об этом как раз популярно рассказано везде где только можно. В частности в том ролике что я скидывал выше
