Меня смущают access_token и id_token из OIDC, какой из них следует установить в заголовке авторизации при отправке запроса владельцу ресурса?Является ли id_token только для того, чтобы клиент отображал информацию о пользователе без запроса?
Я думаю, что на подобный вопрос здесь отвечает ajaybc - https://stackoverflow.com/a/19443840/4794396.
Скажем, id_token необходим для аутентификации пользователя.И access_token обязателен для достижения конечной точки.
PS: Не могу оставить комментарий, так как у меня еще нет 50 репутаций.