如果我只有 1 网络应用(或原生应用),为什么我要使用access tokens而不是id tokens?该应用程序应该能够调用我的WebApi中的所有方法。也许所有用户都不应该能够调用所有WebApi方法,但访问令牌并不能帮助解决这个问题(据我所知)。
如果我有多个应用程序并且我只希望每个应用程序都可以访问某些WebApi方法,而不是单个应用程序案例,那么我可以看到价值。
答案 0 :(得分:2)
从逻辑上讲,如果前端和后端应用程序是相同的应用程序(即它们共享应用程序标识符),那么只要您不想要,就不必发出访问令牌使用范围在后端应用程序中实现任何访问决策,因为不会发出ID令牌。