Ich implementiere Openid Connect für Google undMicrosoft. Openid stellt das id_token bereit, das auch die Benutzerinformationen enthält. Ich bin immer noch verwirrt. Wie benutze ich id_token? In oauth2 speichern wir das access_token in unserer Datenbank. Daher verwenden wir access_token, um ein Benutzerprofil abzurufen. Wenn ich das Profil erhalte, bedeutet dies, dass der Benutzer authentifiziert ist und sich der Benutzer in der App anmeldet. Sollte ich im Fall id_token das Token überprüfen? Wenn das Token gültig ist, wird sich der Benutzer anmelden. Ich bin ziemlich verwirrt. Bitte hilf mir. Bitte geben Sie den Ablauf der Authentifizierung an.
Antworten:
0 für die Antwort № 1Lesen Sie dies: http://www.thread-safe.com/2012/02/why-we-need-idtoken-in-openid-connect.html
TL; DR id_token beseitigt die Notwendigkeit dieses ZusatzesRundreise müssen Sie machen, um Userinfo zu erhalten. Stattdessen bietet Ihnen OIDC ein id_token, das alle Informationen enthält, die Sie über Ihren aktuellen Benutzer benötigen, und ein access_token.
0 für die Antwort № 2
Wenn für die Authentifizierung kein Token erforderlich ist. Es ist nur bei öffentlichen Clients nützlich, um einige Benutzerattribute, auch Claims, zu erhalten.