使用OAuth和JWT进行身份验证但不使用OpenID Connect

Question

我想知道是否真的需要OpenID Connect以在OAuth2之上提供身份验证。在我看来，如果我生成JWT（JWE）作为访问令牌，并且在访问令牌中存储用户声明，角色/权限等，则不需要OpenID Connect的ID令牌。资源服务器可以验证每个请求上的访问令牌。另外，我可以保持访问令牌很小，只需要存储一个会话ID并使用声明/角色/权限填充该会话。此外，我可以在会话中设置到期值，并支持滑动到期等，甚至不处理刷新令牌。我是否缺少OpenID Connect的真正内容？

我才意识到更新我要澄清我的问题有点。如果我建立了一个允许用户通过Google登录的网站，我可以看到OpenID Connect的必要性。我允许某人根据某些OAuth授权流程访问我的网站，该授权流程未证明身份验证发生。但是，如果我构建了一堆服务，并且只想发布令牌来访问这些服务资源，那么是不是足够了？如果我想让这些标记包含角色/声明，以便我可以在我的服务中进行授权决策，是不是JWT包含足够的角色/声明？如果觉得在这种情况下OpenID Connect不是必需的。

Answer 1

通过要求访问令牌是JWT，同意接受JWT的用户声明，将过期/签发时间戳放入此处，并确保您以加密方式验证您实际正在执行的令牌的颁发者与OpenID Connect一样：“分析”OAuth 2.0的方式可以提供用户身份验证/身份信息。

更新：

但是，如果你并不需要用户认证的语义，你可以使用OAuth 2.0坚持。您可以使用JWT作为访问令牌，以便资源服务器（API）可以验证和检查访问令牌，并找出客户端代表谁的行为。但是请注意，该标记的拥有并不意味着用户当时在场（并经过身份验证）。