对于Open ID Connect,使用混合流时code id_token token响应类型的值是什么?
这将返回一个包含授权码,身份令牌和访问令牌的响应。如果响应中已经包含访问令牌,授权码是否多余?
答案 0 :(得分:1)
您可以使用授权码在token端点上获取刷新令牌。
答案 1 :(得分:0)
为此的答案可能会因具体实现而异。协议文档中提到的OpenID Connect规范可以证明这一点是合理的。
在混合流下有专门的 token endpoint 解释。据此,
使用混合流时,从令牌端点返回的ID令牌的内容与从授权端点返回的ID令牌的内容相同
几乎没有例外,
at_hash和c_hash声明现在第二个是特定于实现的。因此,您可能会发现很少的差异,或者可能将它们视为相同。
除非您有特殊要求,否则我建议您坚持使用授权码流程。这样更加安全,甚至OAuth工作组都建议不要从授权响应(即隐式流)中获取令牌。