假设我拿到code,在服务端通过code获取到access_token和id_token,如果我只是单纯的验证登录相关,是不是只需要id_token即可。
服务端拿到id_token以及通过id_token拿到的用户信息,一并返回给前端,然后塞到cookie里,然后每次请求后端带上,服务端只需要拿着应用的appid和appsecret验证id_token是否过期即可,这样的逻辑是否正确呢?
这样是可以的哈。
假设我拿到code,在服务端通过code获取到access_token和id_token,如果我只是单纯的验证登录相关,是不是只需要id_token即可。
服务端拿到id_token以及通过id_token拿到的用户信息,一并返回给前端,然后塞到cookie里,然后每次请求后端带上,服务端只需要拿着应用的appid和appsecret验证id_token是否过期即可,这样的逻辑是否正确呢?
这样是可以的哈。