oAuth2 访问令牌与用户信息
oAuth2 Access Token with userinfo
我们在公司内部对使用 oAuth2 获取用户信息的方式有一点争论。
第一个开发人员正在使用库 spring-security-oauth2 获取访问令牌中的用户信息并对其进行解码。
第二个开发人员在 oAuth2 的顶部使用 open id connect 与库 Nimbus,这样您将从 UserInfo 端点获取用户信息。
哪种方式比较好?以及如果我没有这个就可以获得我的用户信息,为什么要使用 open id connect
感谢您的帮助和解释
访问令牌——实际上是裸露的 OAuth 2.0——不能用于对用户进行身份验证。它只能用于检索有关用户的信息,该用户可能不是正在操作浏览器的用户。参见:https://oauth.net/articles/authentication/
因此,如果您想以符合标准的方式对用户进行身份验证,则需要使用 OpenID Connect。
我们在公司内部对使用 oAuth2 获取用户信息的方式有一点争论。
第一个开发人员正在使用库 spring-security-oauth2 获取访问令牌中的用户信息并对其进行解码。
第二个开发人员在 oAuth2 的顶部使用 open id connect 与库 Nimbus,这样您将从 UserInfo 端点获取用户信息。
哪种方式比较好?以及如果我没有这个就可以获得我的用户信息,为什么要使用 open id connect
感谢您的帮助和解释
访问令牌——实际上是裸露的 OAuth 2.0——不能用于对用户进行身份验证。它只能用于检索有关用户的信息,该用户可能不是正在操作浏览器的用户。参见:https://oauth.net/articles/authentication/
因此,如果您想以符合标准的方式对用户进行身份验证,则需要使用 OpenID Connect。