经过openid身份验证后,id_token(jwt)通过URI片段而不是查询字符串传递给客户端,这使得服务器无法读取。这背后的真正座右铭是什么。这有什么好处
最佳答案
该片段应该在加载URL之前由用户代理(例如浏览器)剥离,因此该片段不会最终出现在服务器端日志中。
应该意识到,浏览器实现的最新变化使上述假设值得怀疑,并且依靠授权码流程可能更安全。
关于jwt - 为什么id_token通过带有片段标识符的URL而不是查询字符串传递?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/46214678/