В руководствах речь идет об аутентификации на основе токенов JWT, она выдаст токен JWT для объявления пользователя и его прав доступа в приложении.
Когда пользователь пытается войти в приложение со своим именем пользователя и паролем, сторона сервера / API аутентифицирует пользователя, генерирует токен и отправляет токен обратно клиенту. В следующий раз клиент может использовать токен для доступа к серверу / API, что избавляет приложение или систему от необходимости запоминать или хранить учетные данные пользователя. В этот токен можно включить основную информацию профиля пользователя (не конфиденциальную) и некоторые пользовательские утверждения, например утверждения, связанные с ролями. Как на стороне клиента, так и на стороне сервера следует проверить конкретную роль, если вы хотите проверить часть авторизации.
Id_token был добавлен к спецификации OIDC ( OpenID Connect ) в качестве оптимизации, чтобы приложение могло знать личность пользователя, не делая дополнительных сетевых запросов. Он содержит информацию о профиле пользователя (например, имя пользователя, адрес электронной почты и т. Д.), И поэтому, если вы используете OpenID Connect (Implicit Flow подходит для SPA) для выполнения аутентификации и авторизации, вы получите токен id, удостоверяющий личность пользователя, и токен доступа, который можно использовать для доступа к защищенному ресурсу / API.
Вы не используете OpenID Connect, поэтому в сценарии не используется токен id.