验证 Token

‌JWT Token 是用户登录后的唯一凭证,验证 Token 合法性和用户的登录状态有三种方法:‌

请根据以下信息选择验证 Token 的方式:

  1. 如果你直接调用了登录方法(Login),这时由 Authing 签发 Token,那么请使用第一种方式验证;

  2. 如果你使用了 OIDC 流程,那么请使用第二种方式验证 OIDC 签发的 Token;

  3. 如果你使用了 OIDC 流程接入了其他 SaaS,该 SaaS 想要通过 API 验证 Token,请使用第三种方法的 OIDC 部分;

  4. 如果你使用了 OIDC 流程,同时想让服务期变得无状态,请使用第三种方法的 OIDC 部分;

  5. 如果你使用了 OAuth 2.0 流程,那么请使用第三种方式的 OAuth 部分;

  6. 注意,不论是 OIDC 还是 OAuth 流程,Authing 都会签发一个由 Authing 签发的 Token,该 Token 也可以用来验证用户的登录状态,该 Token 保存在登录成功后返回的用户信息中,字段名称为 Token。

发送 Token 给 Authing 服务器验证

此方式适用于验证扫码登录直接调用登录接口后获取到的 Token。

get
验证 Authing 签发的 Token

https://users.authing.cn/authing/token
此方式适用于验证扫码登录或者直接调用登录接口后获取到的 Token
Request
Response
Request
Path Parameters
access_token
required
string
Authing 签发的 Token
Response
200: OK
{
"status": true,
"message": "已登录",
"code": 200,
"token": {
"data": {
"email": "YOUR_EMAIL@domain.com",
"id": "YOUR_USER_ID",
"clientId": "YOUR_UESR_POOL_ID"
},
"iat": "Token 签发时间"
"exp": "Token 过期时间"
}
}

请求示例

$ curl https://users.authing.cn/authing/token?access_token=YOUR_TOKEN

返回结果示例

{
"status": true,
"message": "已登录",
"code": 200,
"token": {
"data": {
"email": "YOUR_EMAIL@domain.com",
"id": "YOUR_USER_ID",
"clientId": "YOUR_UESR_POOL_ID"
},
"iat": "Token 签发时间"
"exp": "Token 过期时间"
}
}

字段解释:

  1. status:Token 状态,true 为正常,false 为非法;

  2. code:状态代码,200 正常,非 200 不正常;

  3. message:提示信息;

  4. token:

    1. data:用户信息,email 为用户邮箱,id 为用户的唯一标识,clientId 为用户池 id,unioind 为用户使用三方登录时用户在三方登录平台的 id;

    2. iat:Token 签发时间;

    3. exp:Token 过期时间;

使用 OIDC 应用的密钥验证 Token

如果你使用了 OIDC 流程,请使用此方式验证 Token。‌

密钥在控制台中 OIDC 应用的详情中可以获取到,如下图所示:

以下验证合法性的代码以 Node 为例(需要安装 jsonwebtoken)。

const jwt = require('jsonwebtoken');​
try {
let decoded = jwt.verify('JSON Web Token from client', 'your_secret'),
expired = (Date.parse(new Date()) / 1000) > decoded.exp
if (expired) {
// 过期
}else {
// 合法也没过期,正常放行
}
} catch (error) {
// 不合法
}

为了避免在客户端暴露 Token,建议将 Token 验证放在服务端执行。‌

如果你对如何在后端处理 OIDC 有困惑,请参考 Github 上的示例代码:oidc-demo。‌

在线验证 OIDC 或 OAuth Token

get
验证 OIDC access_token 或 id_token 的合法性

https://oauth.authing.cn/oauth/oidc/validate_access_token
Request
Response
Request
Path Parameters
optional
string
值为 access_token 或 id_token
Response
200: OK
{
"state": 1,
"isRevoked": false,
"isDeleted": false,
"_id": "yokj1gN8kCBixIhc6KEj7SNsMcJ",
"id": "yokj1gN8kCBixIhc6KEj7SNsMcJ",
"accessToken": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJqdGkiOiJkVlJmenZEbHZQRG50dG9LWnJ1WkciLCJzdWIiOiI1Y2U1M2FlYTlmODUyNTdkZDEzMmQ3NDkiLCJpc3MiOiJodHRwczovL29hdXRoLmF1dGhpbmcuY24vb2F1dGgvb2lkYyIsImlhdCI6MTU2OTU4MDMwOCwiZXhwIjoxNTY5NTgzOTA1LCJzY29wZSI6Im9wZW5pZCBwcm9maWxlIiwiYXVkIjoiNWQwMWUzODk5ODVmODFjNmMxZGQzMWRlIn0.RZ1NWMajncZggkpBt7iWxhHG3QhP8nIqWKaGysyujYo",
"accessTokenExpiresAt": "2019-09-27T11:31:45.000Z",
"scope": "openid profile",
"appId": "5d01e389985f81c6c1dd31de",
"userOrClientId": "5ce53aea9f85257dd132d749",
"when": "2019-09-27T10:31:48.000Z",
"iss": "https://oauth.authing.cn/oauth/oidc",
"sub": "5ce53aea9f85257dd132d749",
"aud": "5d01e389985f81c6c1dd31de",
"exp": 1569583905000,
"iat": 1569580308000,
"user_id": "5ce53aea9f85257dd132d749",
"issued_to": "https://sso.authing.cn",
"audience": "5d01e389985f81c6c1dd31de",
"expires_in": 3360,
"access_type": "offline"
}
// 错误结果:
{
"code": 1920,
"message": "查找 session 发生错误"
}
{
"code": 1921,
"message": "session 不存在"
}
{
"code": 1922,
message: "token 不合法"
}
{
"code": 1923,
"message": "token 过期"
}
{
"code": 1924,
"message": "app 不存在"
}

请求示例

$ curl https://oauth.authing.cn/oauth/oidc/validate_access_token?access_token=YOUR_TOKEN

get
验证 OAuth access_token 合法性

https://oauth.authing.cn/authenticate
验证 OAuth token 合法性的线上接口
Request
Response
Request
Path Parameters
access_token
required
string
OAuth 签发的 access_token
Response
200: OK
{
"state": 1,
"token": {
"isRevoked": false,
"isDeleted": false,
"_id": "5d8df3d12914983cab6430b1",
"accessToken": "b4177a2e01060169fc724112b10703fda49e7d69",
"accessTokenExpiresAt": "2019-09-27T12:34:41.480Z",
"refreshToken": "fd56d928ed3f00b18db14550d63d9f3a051812fc",
"refreshTokenExpiresAt": "2019-10-11T11:34:41.480Z",
"scope": "profile",
"grantType": "authorization_code",
"appId": "5ce52da3b0148671e7f5bfd7",
"userOrClientId": "5ce53aea9f85257dd132d749",
"when": "2019-09-27T11:34:41.481Z",
"__v": 0
},
"isRevoked": false,
"isDeleted": false,
"_id": "5d8df3d12914983cab6430b1",
"id": "5ce53aea9f85257dd132d749",
"accessToken": "b4177a2e01060169fc724112b10703fda49e7d69",
"accessTokenExpiresAt": "2019-09-27T12:34:41.480Z",
"scope": "profile",
"grantType": "authorization_code",
"appId": "5ce52da3b0148671e7f5bfd7",
"userOrClientId": "5ce53aea9f85257dd132d749",
"when": "2019-09-27T11:34:41.481Z",
"iss": "https://sso.authing.cn",
"sub": "5ce53aea9f85257dd132d749",
"aud": "5ce52da3b0148671e7f5bfd7",
"exp": 1569587681480,
"iat": 1569584081481,
"user_id": "5ce53aea9f85257dd132d749",
"issued_to": "https://sso.authing.cn",
"audience": "5ce52da3b0148671e7f5bfd7",
"expires_in": 3360,
"access_type": "offline"
}

请求示例

$ curl https://oauth.authing.cn/authenticate?access_token=YOUR_TOKEN