在混合流/授予中-
response_type = code token id_token
在这种情况下,客户端两次收到id_token和access_token:
1)从/授权端点(以及代码)
2)从/ token端点(交换令牌代码)
我在几个站点中读到,两次收到的这些令牌可能并不总是相同的。两次接收令牌有什么用?如何使用?不仅仅是从授权端点获取代码并将其与令牌端点交换足够的令牌(即授权代码流)吗?
答案 0 :(得分:1)
恐怕这不是规范的一部分得到广泛理解或同意。有人可能会争辩说,从反向通道接收令牌本质上是更安全的,因此与将其放入前端通道相比,存在安全性和保证优势。我认为没有人会提出令人信服的用例,尽管也会在相同流中在前端通道中接收令牌。