auth0实践-单页应用调用后端API

前言

最近把自己后台的登录方案切换到了auth0,本文的主要内容都来自auth0官方文档,官方文档写的很好建议使用者阅读。

交互流程



说明:

  • ①: auth0登录成功后会跳转回callback地址,Vue hash mode 测试过程中发现调转有问题,不确定是否支持,建议使用 history mode,callback 会返回 accessToken 用于调用后端API。
  • ②:AccessToken 验证方式取决于 jwt 的加密算法,auth0 支持 HS256 跟 RS256, 后续单独说明。

AccessToken 验证

SpringBoot 配置参考 Spring Security Java API

HS256

这种方式有局限,只支持一个 audience

RS256

官方建议使用 RS256,验证过程详见官方文档,代码实现见 com.auth0.jwk.UrlJwkProvider