Wdrażam openid connect dla google imicrosoft. Openid udostępnia identyfikator id_token, który również zawartość informacji użytkownika. Nadal jestem zdezorientowany. Jak korzystać z id_token. W Oauth2 przechowujemy access_token w naszej db. więc używamy access_token, aby uzyskać profil użytkownika. Jeśli otrzymuję profil użytkownika oznacza, że użytkownik jest uwierzytelniony, a użytkownik zaloguje się do aplikacji. Więc w przypadku id_token, czy powinienem zweryfikować token. Jeśli token zostanie zatwierdzony, użytkownik zaloguje się. Jestem naprawdę zdezorientowany. Proszę pomóż mi. Podaj przepływ uwierzytelniania.
Odpowiedzi:
0 dla odpowiedzi № 1Przeczytaj to: http://www.thread-safe.com/2012/02/why-we-need-idtoken-in-openid-connect.html
TL; DR id_token usuwa potrzebę tego dodatkowegopodróż w obie strony, którą musisz wykonać, aby uzyskać userinfo. Zamiast tego OIDC przedstawia zarówno identyfikator id_token, który zawiera wszystkie potrzebne informacje o aktualnym użytkowniku i tekście dostępu.
0 dla odpowiedzi nr 2
Jeśli token nie jest wymagany do uwierzytelnienia. Przydaje się tylko w publicznych klientach, aby uzyskać pewne atrybuty użytkownika, a mianowicie roszczenia.