Тип предоставления учетных данных пароля владельца ресурса не должен использоваться для аутентификации пользователя в соответствии со спецификацией OpenID, только поток, взаимодействующий с пользователем через конечную точку авторизации , может делать это (т.е.Неявные потоки типа Код авторизации, Гибридный и Нет типа на момент написания).
Если вы получаете токен идентификатора с использованием потока ROPC, то поставщик удостоверений предлагает специальные средства, которые не входят в сферу действия OpenID.Спецификация Connect может иметь определенные и нестандартные функции, которые должны быть задокументированы.
В любом случае, на стороне Клиента вы должны полагаться только на утверждение sub
в идентификационном токене.Клиент не должен анализировать токен доступа, поскольку он предназначен только для использования сервером ресурсов.
Заявка sub
зависит от политики IdP и конфигурации клиента.Заявка sub
может быть уникальной для приложения (или группы приложений).См. Типы идентификаторов субъекта раздел спецификации.