Какова цель неявного режима в Spring open id connect?

Question

Я сейчас использую Authorisation Code Flow openid connect весной, который является режимом по умолчанию.В этом режиме используется тип ответа code, и я получаю access_token и id_token.Так что тут все вроде нормально.

Но когда я пытаюсь использовать Implicit Flow, установив authorizationGrantType=implicit, используется тип ответа token, и я получаю только access_token.Это отражает часть запроса авторизации спецификации OAuth 2.0 .Более того, значение token для типа ответа, по-видимому, не используется Спецификацией OpenId Connect :

Так, какова цель неявного режима?весной открыть id подключить?

Answer 1

ПРИМЕЧАНИЕ. В то время как OAuth 2.0 также определяет маркер Тип ответа для неявного потока, OpenID Connect не использует этот тип ответа, поскольку токен идентификатора не будет возвращен.

Как подчеркивается в спецификации OpenID Connect, response_type = token не является допустимым типом ответа для OpenID Connect.Итак, то, что вы наблюдаете, откатывается к OAuth 2.0 и, следовательно, получает токен доступа.

Я не из источника Spring, но вы должны быть в состоянии определить / настроить соответствующий response_type значения из вашего кода.Если это не так, вам просто повезло с наблюдением за потоком кода авторизации.В зависимости от конфигурации / предпочтений сервера авторизации он может отправить токен id .Например, Azure AD отправляет маркер идентификатора для Код OAuth 2.0, предоставляющий