根据我对此blog post的理解,在openid connect中,我们使用id令牌来验证用户是否经过身份验证。为什么响应包括访问令牌和刷新令牌?此外,博客没有提到有关验证谁发送令牌的问题。我们如何验证它实际上是发送消息的idp?
答案 0 :(得分:3)
本文介绍了基本客户端配置文件,客户端在后向通道调用中从IDP获取令牌到令牌端点。在令牌端点上显示的服务器证书的SSL服务器证书验证保证我们正在处理正确的IDP,这可能会废弃分别验证id_token的需要。
包含访问令牌,使客户端可以调用所谓的用户信息端点,并获得有关用户的更多声明。该端点是使用OAuth 2.0保护的API,因此客户端需要提供访问令牌。此外,由于OpenID Connect基于OAuth 2.0,因此访问令牌可能与更多范围相关联,因此它也可以用于其他(非OpenID Connect)API(常规OAuth 2.0)。
包含刷新令牌是出于常规的OAuth 2.0原因,因此客户端可以在旧的访问令牌过期时获取新的访问令牌而不再涉及显式的用户身份验证。