J'implémente Openid Connect pour Google etMicrosoft. Openid fournit l'identifiant id_token qui contient également les informations de l'utilisateur. Je suis toujours confus. Comment utiliser id_token. Dans oauth2, nous stockons le access_token dans notre base de données. Nous utilisons donc access_token pour obtenir le profil de l'utilisateur. Si je reçois le profil, l'utilisateur est authentifié et il se connectera à l'application. Donc, dans le cas id_token, devrais-je valider le jeton. Si le jeton est validé, l'utilisateur se connectera. Je suis vraiment confus. Sil te plait aide moi. S'il vous plaît fournir le flux d'authentification.
Réponses:
0 pour la réponse № 1Lis ça: http://www.thread-safe.com/2012/02/why-we-need-idtoken-in-openid-connect.html
TL; DR id_token élimine le besoin de cet extraAller-retour, vous devez faire pour obtenir userinfo. Au lieu de cela, OIDC vous présente à la fois un id_token contenant toutes les informations dont vous avez besoin sur votre utilisateur actuel et un access_token.
0 pour la réponse № 2
Si le jeton n'est pas requis pour l'authentification. Il n’est utile que dans les clients publics d’obtenir certains attributs d’utilisateur, autrement dit des revendications.