【问题标题】:Open ID Connect Multiple response typesOpen ID Connect 多种响应类型
【发布时间】:2019-06-10 13:49:10
【问题描述】:

使用 Open ID Connect,使用混合流时code id_token token 响应类型的值是多少?

这将返回一个包含授权代码、身份令牌和访问令牌的响应。既然响应中已经有了访问令牌,那么授权码是多余的吗?

【问题讨论】:

    标签: openid-connect


    【解决方案1】:

    您可以使用授权码在token 端点获取刷新令牌。

    【讨论】:

      【解决方案2】:

      对此的答案可能因具体实施而异。这可以通过 OpenID Connect 规范在协议文档中提到的内容来证明。

      在混合流下有专门的token endpoint解释。据此,

      ID Token

      使用混合流程时,从 Token Endpoint 返回的 ID Token 的内容与从 Authorization Endpoint 返回的 ID Token 的内容相同

      有一些例外,例如,

      • 忽略来自令牌端点的 Id 令牌中的 at_hashc_hash 声明
      • 来自授权端点的 Id 令牌中的受限(受限)声明

      现在第二个是特定于实现的。因此,您可能会发现一些差异,或者您可能会认为它们是相同的。

      除非您有特殊要求,否则我建议您坚持使用授权码流程。它更安全,甚至 OAuth 工作组也建议不要从授权响应中获取令牌(即 - 隐式流)。

      【讨论】:

        猜你喜欢
        • 2020-05-13
        • 1970-01-01
        • 1970-01-01
        • 2021-12-14
        • 2021-11-26
        • 2020-04-06
        • 1970-01-01
        • 1970-01-01
        • 2015-10-26
        相关资源
        最近更新 更多