标签: oauth-2.0 oidc
我很难理解为什么我们不只有一个同时用于授权和认证这两个目的的令牌?
从某种意义上说,访问令牌的作用不只是授权。它还提供用户ID(在sub声明中),经过验证后,API(令牌的aud身份)既知道您是谁,又被允许做什么。
sub
aud
ID令牌是给客户使用的,但是对于SPA,我根本看不到任何意义。 SPA会同时获取这两个令牌,丢弃ID令牌并使用访问令牌与API通信。
一些问题: -纯粹是出于历史原因,我们被两个单独的令牌卡住了吗? -我何时真正需要ID令牌? SPA有什么用?