然后她就可以使用这个token做一些事情了, 比如使用token访问api请求所有的订单信息, 这时api就会知道这个token是有效的....甚至, 用户使用token可以访问第三方服务, 第三方服务再使用这个token来访问我们的api.
向第三方服务提供token肯定比提供用户名密码安全多了....如何保证token的安全
?
如图, 用户带着token向api发出请求, token是附带在header中, api收到请求后会返回一些数据....针对token和它带的数据以及在token尾部的签名信息, 只要没人篡改数据, 那么token的签名就是一定的.
authorization server提供的public key是任何人都可以访问的,...这里你可以试试把一个token的数据更改之后, token验证就出错了.
下面这个图是如何使用token访问api:
?
Access Token (JWT)
?