Мне действительно трудно понять, как в основном реализовать процесс авторизации. Я думаю, что поток аутентификации в основном правильно реализован с использованием технологий, которые я перечислил в заголовке. Вот чего я хочу добиться:
По сути, у меня есть мобильное приложение, созданное с использованием React-Native, и я создал удобный API для этого мобильного приложения. В настоящее время я нахожусь в точке, где я реализовал аутентификацию, используя ADFS 4.0. Мое мобильное приложение напрямую использует конечные точки ADFS для аутентификации пользователя, и я могу получить оттуда id_token и токен доступа. Но тут возникает то, что я понятия не имею, что делать дальше. До того, как я использовал openID, у меня была собственная аутентификация и только поток OAuth2 в моем Spring REST Api, и каждый раз, когда я делал запрос от мобильного приложения к API, я предоставлял токен доступа в заголовках и использовал его для проверки из сервер авторизации, что пользователь действительно аутентифицирован и также получил некоторую важную информацию о пользователе для использования в моем API. Но теперь, поскольку я использую OpenID-Connect и ADFS 4.0 для аутентификации, у меня есть важная информация, которая мне нужна в моем API в id_token. Вопрос в том, что именно я должен сейчас отправить в свой API из мобильного приложения, id_token, access token или обоих? Если access token для конечной точки userinfo в ADFS возвращает субъекта владельца токена. Например, есть ли какой-нибудь способ, которым я мог бы получать информацию о пользователях, используя тему, или что именно я должен делать. Я много пытался исследовать эту тему, но я все еще в замешательстве ..