在OIDC和OAuth中正确管理令牌

Question

我正在使用外部身份提供程序为系统实现单点登录。我正在使用混合流（由于需求限制），范围为“ openid code id_token个人资料电子邮件”。

根据我当前的实现，工作流程如下。

1. 从身份提供者那里获取id_token，进行验证并将其存储在浏览器中。
2. 将代码发送到我的后端API（到/ login）。在这里，后端API调用令牌端点以获取令牌，使用该令牌提取一些用户数据，使用该用户的唯一标识符（如果尚不存在）创建一个帐户，并返回一个用我的机密签名的新令牌键。

我面临的问题是，现在我有两个令牌，一个由Id Provider签名，另一个由我的后端API签名。这是个好习惯还是我做错了什么？我现在还停留在如何实现单点退出上。