标签: authentication authorization single-sign-on openid-connect oauth2
在授权代码流程中,客户端通常会在一个步骤中获取 id令牌和访问令牌,然后将访问令牌传递给userinfo端点在第二步中获取实际数据。
就OpenID Connect而言,是否可以将这些步骤合并为一个,从客户端到OpenID提供商的一次往返就足够了?
N.B。访问令牌的实际内容取决于OpenID提供程序的实现者,因此理论上我可以将数据放在那里 - 但这似乎不是一种好的做法,或者是它?
答案 0 :(得分:2)
根据OpenId Connect spec:
ID令牌可能包含其他声明。
规范还定义了一组标准claims
如果 id token 包含您想要的用户信息声明,则可以直接从 id令牌获取这些用户信息声明。