与提供商认证之后,应用程序通常将同时接收的ID和令牌代表用户的接入令牌。现在看来有两种方法可以断言用户是谁。ID令牌或/用户信息用于标识断言
- 验证ID令牌,然后读取ID令牌。
- 将访问令牌传递给userinfo端点并读取JSON响应。
两者似乎都是可接受的途径,但是在某些情况下应该使用哪一种?
与提供商认证之后,应用程序通常将同时接收的ID和令牌代表用户的接入令牌。现在看来有两种方法可以断言用户是谁。ID令牌或/用户信息用于标识断言
两者似乎都是可接受的途径,但是在某些情况下应该使用哪一种?
如果您有两个令牌并且ID令牌包含您需要的所有信息,则可以使用任一方式。下面是来到我的脑海一些区别:
除了技术差异之外,还存在语义差异:id_token
及其中的信息表示并标识经过验证的用户。该用户“存在”并登录到应用程序。
的access_token
,并从用户信息终端返回的信息代表关于谁发出的访问令牌来呈现它的实体的用户信息。该用户不需要“存在”或登录(再)。
id_token
通常是“一次性使用”,而access_token
通常可以使用很短的时间。
现在,在这两个令牌发放,并在当用户与ID连接,所述两个重叠记录在相同的时间接收到的情况。