Open ID Connect Несколько типов ответов

Question

При использовании Open ID Connect, каково значение типа ответа code id_token token при использовании гибридного потока?

Возвращает ответ, содержащий код авторизации, идентификационный токен и токен доступа. Если у вас уже есть токен доступа в ответе, код авторизации избыточен?

Answer 1

Ответ на этот вопрос может варьироваться в зависимости от конкретной реализации.Это оправдано тем, что спецификация OpenID Connect упоминает в документе протокола.

Существует специальное объяснение конечной точки токена , приведенное в разделе Гибридный поток.В соответствии с этим,

Идентификационный токен

При использовании гибридного потока содержимое идентификационного токена возвращается из конечной точки токенате же, что и для идентификатора токена, возвращенного из конечной точки авторизацииконечная точка токена

Ограниченные (ограниченные) утверждения в токене Id от конечных точек авторизации

Теперь этот второй характерен для конкретной реализации.Таким образом, вы можете найти несколько различий или вы можете увидеть их как идентичные.

Если у вас нет особых требований, я рекомендую придерживаться потока кода авторизации.Это более безопасно, и даже рабочая группа OAuth предлагает не получать токены из ответа на авторизацию (т. Е. - неявный поток).

Answer 2

Вы можете получить токен обновления в конечной точке token, используя код авторизации.