后续步骤

完成 接入用户登录 后，你已经能让用户通过 YeeAuth 登录。接下来是把身份真正用起来：在后端校验 Token、做权限控制，以及覆盖更多接入场景。

在后端校验 Access Token

当前端携带 Authorization: Bearer <access_token> 调用你的后端 API 时，后端（资源服务器）应当独立验证这个 Token，而不是无条件信任：

1. 从请求头中提取 Token。
2. 从 YeeAuth 的 JWKS 端点（{Issuer}/oauth/jwks）获取公钥。
3. 用公钥验证 Token 的签名，并检查 iss（签发方）、aud（受众）、exp（有效期）等声明。
4. 根据 Token 中携带的角色 / 权限声明，决定是否放行该请求。

只要签名验证通过且未过期，就可以信任 Token 中的用户身份与权限信息。完整的端点与字段规范见 开发者集成指南。

配置角色与权限

YeeAuth 支持集中化的权限管理。管理员可以在控制台中：

• 创建角色，并为角色绑定细粒度的权限点（例如 user:write、data:read）。
• 把角色分配给用户。

用户登录后，其 Token 中会包含相应的角色 / 权限声明，你的后端据此做拦截和校验。具体操作见 控制台与管理员指南。

对接服务间调用（M2M）

如果你的需求不是“用户登录”，而是服务调用服务（例如后台任务、微服务之间互相访问），应使用客户端凭据流程（client_credentials）：调用方用编程账号的凭据直接向 Token Endpoint 换取 Access Token，不涉及用户和浏览器跳转。这类 Token 同样通过 JWKS 验签，并校验其中的权限字段。

巩固概念

如果在接入过程中遇到不熟悉的术语，建议回到核心概念章节系统了解：

• OIDC 与 OAuth 2.0：协议基础。
• JWT Token：Token 的结构与校验。
• 用户池 与 租户：多租户隔离模型。
• 单点登录（SSO） 与 多因素认证（MFA）：进阶能力。

小结

到这里，你已经走完了从零接入 YeeAuth 的完整路径：创建应用、获取凭据、让用户登录、在后端校验 Token 并接入权限控制。后续可以根据业务需要，进一步探索单点登录、多因素认证、身份联合等能力。