Disons que j'ai une API web à laquelle une application native doit faire des requêtes. Cette API doit authentifier l'utilisateur qui effectue ces demandes via l'application native. OpenID Connect semble être le bon choix puisqu'il s'agit d'authentification plutôt que d'autorisation avec OAuth.OpenID Connect - le jeton d'identification doit-il être envoyé à la ressource protégée dans ce cas?
L'application native envoie les informations d'identification de l'utilisateur à l'IDP et récupère un jeton d'accès (pour l'autorisation) et un jeton d'identification (pour l'authentification). D'après ce que je comprends d'OIDC, le jeton d'accès serait envoyé à l'API mais le jeton d'identification est seulement pour l'application cliente native. Cela n'a pas de sens pour moi car c'est l'API qui se soucie de l'utilisateur, pas de l'application native.
Alors, pourquoi le jeton d'identification n'est-il pas également transmis à la ressource protégée (alias l'API)? Si vous ne transmettez pas le jeton d'identification à l'API, qu'est-ce qui garantit que le jeton d'accès est sécurisé et peut être utilisé pour authentifier l'utilisateur? Sinon, il semblerait perdre l'avantage d'utiliser OIDC sur OAuth.