是否可以将“获取令牌”和“获取用户信息”步骤合并为一个?

时间:2016-04-14 03:01:07

标签: authentication authorization single-sign-on openid-connect oauth2

在授权代码流程中,客户端通常会在一个步骤中获取 id令牌访问令牌,然后将访问令牌传递给userinfo端点在第二步中获取实际数据。

就OpenID Connect而言,是否可以将这些步骤合并为一个,从客户端到OpenID提供商的一次往返就足够了?

N.B。访问令牌的实际内容取决于OpenID提供程序的实现者,因此理论上我可以将数据放在那里 - 但这似乎不是一种好的做法,或者是它?

1 个答案:

答案 0 :(得分:2)

根据OpenId Connect spec

  

ID令牌可能包含其他声明。

规范还定义了一组标准claims

如果 id token 包含您想要的用户信息声明,则可以直接从 id令牌获取这些用户信息声明。