我正在为google和microsoft实现openid connect。 Openid提供id_token,它也包含用户信息。我还是很困惑。如何使用id_token。在oauth2中,我们将access_token存储在db中。所以我们使用access_token来获取用户个人资料。如果我收到个人资料,则表示用户已通过身份验证,用户将登录应用。所以在id_token的情况下,我应该验证令牌。如果令牌已验证,则用户将登录。我真的很困惑。请帮帮我。请提供身份验证流程。
答案 0 :(得分:0)
阅读本文:http://www.thread-safe.com/2012/02/why-we-need-idtoken-in-openid-connect.html
TL; DR id_token消除了为获取userinfo而需要进行额外往返的需要。相反,OIDC会为您提供一个id_token,其中包含您当前用户所需的所有信息以及access_token。
答案 1 :(得分:0)
如果身份验证不需要令牌。只有在公共客户端才能获得一些用户属性,即声明。