Как используются два токена id / access (от конечных точек авторизации и токена), полученных в гибридном потоке / гранте?

Question

In Hybrid Flow / Grant -

    response_type = code token id_token

В этом случае клиент получает id_token & access_token 2 раза:

1) От / авторизовать конечную точку (вместе с кодом)

2) Конечная точка токена / токена (обменивает код на токен)

Я читал на нескольких сайтах, что эти токены, полученные дважды, могут не всегда быть одинаковыми. Какая польза от получения токенов дважды? Как они используются? Разве не достаточно просто получить код из конечной точки авторизации и обменять его с конечной точкой токена на токены (т.е. поток кода авторизации)?

Answer 1

Боюсь, это не совсем понятная или согласованная часть спецификации. Можно утверждать, что получение токенов из обратного канала по своей природе является более безопасным, поэтому существует преимущество в безопасности и гарантии по сравнению с получением их в переднем канале. Я не думаю, что кто-либо представил убедительный пример использования, хотя для также получение токенов в переднем канале в том же потоке .