标签: oauth-2.0 openid-connect
问题基本上在标题中。我知道公寓的关键(API的access_token)并不能真正识别使用它的人。
但是id_token有什么不同?还有哪些额外的安全措施?
最重要的是 - 谁验证了它?每个请求的Resoruce Server(API)?它会如何做到这一点?在我的例子中,RS将是一个Dotnet Core Api。是否有库或中间件来执行此操作?
或者甚至资源服务器在从授权服务器(Idp)接收后验证它,但客户端是否验证了它?