Azure DevOps Blog
·
认证令牌不是数据契约
💡
原文英文,约400词,阅读约需2分钟。
📝
内容提要
认证令牌用于验证调用者的授权,不应依赖其内容,因其可能随时更改或不可读。今夏将进一步加密令牌,依赖解码令牌的应用将受到影响。应使用Azure DevOps REST API获取数据,令牌仅用于验证和授权。
🎯
关键要点
- 认证令牌用于验证调用者的授权,不应依赖其内容。
- 令牌内容可能随时更改或不可读,未曾保证其稳定性。
- 今夏将进一步加密认证令牌,令牌负载将不再可被客户端读取。
- 依赖解码令牌提取声明的应用将会受到影响。
- 应仅将令牌用于验证和授权,使用Azure DevOps REST API获取用户或组织数据。
- 令牌声明可能会在没有通知的情况下更改或消失。
- 如果应用依赖于解码令牌的声明,应尽快改变这种模式。
❓
延伸问答
认证令牌的主要用途是什么?
认证令牌用于验证调用者的授权。
为什么不应该依赖认证令牌的内容?
因为令牌内容可能随时更改或不可读,未曾保证其稳定性。
今夏对认证令牌将进行什么变化?
今夏将进一步加密认证令牌,令牌负载将不再可被客户端读取。
如何正确使用认证令牌?
令牌应仅用于验证和授权,应用应使用Azure DevOps REST API获取用户或组织数据。
依赖解码令牌的应用会受到什么影响?
依赖解码令牌提取声明的应用将会受到影响,可能会出现故障。
如果应用依赖于解码令牌,应该怎么做?
应尽快改变这种模式,避免依赖解码令牌的声明。
🏷️
标签
➡️
