我正在为google和microsoft实现openid connect . Openid提供id_token,它也包含用户信息 . 我还是很困惑 . 如何使用id_token . 在oauth2中,我们将access_token存储在db中 . 所以我们使用access_token来获取用户 Profiles . 如果我收到配置文件,则表示用户已通过身份验证,用户将登录到应用程序 . 所以在id_token的情况下,我应该验证令牌 . 如果令牌已验证,则用户将登录 . 我真的很困惑 . 请帮帮我 . 请提供身份验证流程 .
2 回答
阅读本文:http://www.thread-safe.com/2012/02/why-we-need-idtoken-in-openid-connect.html
TL; DR id_token消除了为获取userinfo而需要进行额外往返的需要 . 相反,OIDC会为您提供一个id_token,其中包含您当前用户所需的所有信息以及access_token .
如果身份验证不需要令牌 . 只有在公共客户端才能获得一些用户属性(即声明) .