Oauth2 与 OpenId 连接

Oauth2 with OpenId connect

我今天问你是因为我走投无路了。我错过了 apigee 中 Oauth2 和 OpenID 连接的逻辑部分。

我了解应用程序请求 Openid 连接以获取已登录用户的配置文件,并且 OAuth2 为应用程序提供了一种通过访问令牌访问受保护资源的方法。

现在我们来看一个场景,受保护的资源需要验证登录的用户是否是他自己并获得了授权令牌,我在这里做的这个例子是好的还是我把事情弄复杂了?

据我了解,您错过的是 the introspection endpoint

此端点专为资源服务器设计。它允许他们获取有关客户端使用的访问令牌的详细信息。如果访问令牌处于活动状态,您将收到有关它的声明,尤其是代表资源所有者(即您用例中的用户)的 sub 声明。