【发布时间】:2019-06-10 13:49:10
【问题描述】:
使用 Open ID Connect,使用混合流时code id_token token 响应类型的值是多少?
这将返回一个包含授权代码、身份令牌和访问令牌的响应。既然响应中已经有了访问令牌,那么授权码是多余的吗?
【问题讨论】:
标签: openid-connect
使用 Open ID Connect,使用混合流时code id_token token 响应类型的值是多少?
这将返回一个包含授权代码、身份令牌和访问令牌的响应。既然响应中已经有了访问令牌,那么授权码是多余的吗?
【问题讨论】:
标签: openid-connect
您可以使用授权码在token 端点获取刷新令牌。
【讨论】:
对此的答案可能因具体实施而异。这可以通过 OpenID Connect 规范在协议文档中提到的内容来证明。
在混合流下有专门的token endpoint解释。据此,
使用混合流程时,从 Token Endpoint 返回的 ID Token 的内容与从 Authorization Endpoint 返回的 ID Token 的内容相同
有一些例外,例如,
at_hash 和 c_hash 声明现在第二个是特定于实现的。因此,您可能会发现一些差异,或者您可能会认为它们是相同的。
除非您有特殊要求,否则我建议您坚持使用授权码流程。它更安全,甚至 OAuth 工作组也建议不要从授权响应中获取令牌(即 - 隐式流)。
【讨论】: