Openid Connect,access_token和refresh_token怎么办?
Openid Connect, what to do with access_token and refresh_token?
据我了解blog post,在openid connect 中,我们使用id token 来验证用户是否已通过身份验证。为什么响应包含访问令牌和刷新令牌?该博客也没有提到验证谁发送了令牌。我们如何验证发送消息的确实是 idp?
本文介绍了基本客户端配置文件,其中客户端通过反向通道调用令牌端点从 IDP 获取令牌。令牌端点上提供的服务器证书的 SSL 服务器证书验证保证我们处理的是正确的 IDP,这可能会消除单独验证 id_token 的需要。
包含一个访问令牌,使客户端可以调用所谓的用户信息端点并获得有关用户的更多声明。该端点是使用 OAuth 2.0 保护的 API,因此客户端需要出示访问令牌。此外,由于 OpenID Connect 基于 OAuth 2.0,访问令牌可能与更多范围相关联,因此它也可以用于其他(非 OpenID Connect)API(常规 OAuth 2.0)。
出于常规 OAuth 2.0 的原因,包含刷新令牌,以便客户端可以在旧令牌过期时获得新的访问令牌,而无需再次涉及显式用户身份验证。
据我了解blog post,在openid connect 中,我们使用id token 来验证用户是否已通过身份验证。为什么响应包含访问令牌和刷新令牌?该博客也没有提到验证谁发送了令牌。我们如何验证发送消息的确实是 idp?
本文介绍了基本客户端配置文件,其中客户端通过反向通道调用令牌端点从 IDP 获取令牌。令牌端点上提供的服务器证书的 SSL 服务器证书验证保证我们处理的是正确的 IDP,这可能会消除单独验证 id_token 的需要。
包含一个访问令牌,使客户端可以调用所谓的用户信息端点并获得有关用户的更多声明。该端点是使用 OAuth 2.0 保护的 API,因此客户端需要出示访问令牌。此外,由于 OpenID Connect 基于 OAuth 2.0,访问令牌可能与更多范围相关联,因此它也可以用于其他(非 OpenID Connect)API(常规 OAuth 2.0)。
出于常规 OAuth 2.0 的原因,包含刷新令牌,以便客户端可以在旧令牌过期时获得新的访问令牌,而无需再次涉及显式用户身份验证。