Quelle est l'utilité d'openid id_token

Question

J'utilise OpenID Connect pour google et microsoft. Openid fournit le id_token qui contient également les informations de l'utilisateur. Je suis toujours confus. Comment utiliser id_token. Dans oauth2 nous stockons le access_token dans notre base de données. nous utilisons donc access_token pour obtenir le profil de l'utilisateur. Si je reçois le profil, l'utilisateur est authentifié et l'utilisateur se connecte à l'application. Donc, dans le cas id_token, devrais-je valider le jeton. Si le jeton est validé, l'utilisateur se connectera. Je suis vraiment confus. Sil te plait aide moi. S'il vous plaît fournir le flux d'authentification.

Answer 1

Lire ceci: http://www.thread-safe.com/2012/02/why-we-need-idtoken-in-openid-connect.html

TL; DR id_token supprime la nécessité de ce aller-retour supplémentaire que vous devez faire pour obtenir userinfo. Au lieu de cela OIDC vous présente à la fois un id_token qui contient toutes les informations dont vous avez besoin sur votre utilisateur actuel et un access_token.

Answer 2

Si le jeton n'est pas requis pour l'authentification. Il est seulement utile dans les clients publics pour obtenir quelques attributs d'utilisateur aka réclamations.