问Auth0.com，它到底是如何工作的？

EN

我将猜测您正在使用Auth0进行身份验证，但您已经配置了Auth0，以便用户可以与其他身份验证提供者(例如Facebook)登录。在这种情况下，它总是Auth0生成从Auth0接收到的令牌--因此验证令牌的方法总是相同的(使用Auth0公钥)，而不管它们是如何对用户进行身份验证的。

但是，应该由Auth0来对用户进行身份验证--完全合法的方法包括：

1. 用户名+密码
2. 一次密码
3. 使用另一个开放标识提供者(例如Facebook)

在第三种情况下，这个过程再次递归地启动，相反，这次Auth0扮演了客户端应用程序的角色，而Facebook正在生成JWT。Auth0验证了Facebook生成的令牌，然后用它来证明登录用户就是他们所说的用户，并且向应用程序发出自己的JWT是安全的。