我们在使用oAuth2获取用户信息的方式上有一点争论。
第一个开发人员使用库spring-security-oauth2获取访问令牌内的用户信息并对其进行解码。
第二个开发人员使用oAuth2顶部的open id connect和库Nimbus,这样你就可以从UserInfo Endpoint获得用户信息。
哪种方式更好的parctice?以及如果我可以在没有此
的情况下获取我的userinfo,为什么要使用open id connect感谢您的帮助和解释
答案 0 :(得分:1)
访问令牌 - 实际上是裸OAuth 2.0 - 不能用于验证用户身份。它只能用于检索有关用户的信息,该用户可能不是操作浏览器的用户。请参阅:https://oauth.net/articles/authentication/
因此,如果您想以符合标准的方式对用户进行身份验证,则需要使用OpenID Connect。