Open ID Connect - 什么令牌最适合用于身份验证

Question

我正在尝试为我的系统实施开放 id 连接身份验证。

我的系统概览

1 - 移动应用程序、云和服务器。

2 - 用户在移动客户端输入凭据，客户端将必要的令牌发送到云端。

3 - 云将充当代理并将令牌发送到服务器，服务器将对用户进行身份验证。

对于这样的场景，理想的身份验证令牌应该是什么？ ID Token 还是 Access Token？

是否有任何规范或可靠来源提及选择正确令牌的最佳实践/标准？

我正在尝试使用 ID 令牌，但遇到了这个问题 - Open ID connect for native applications, i need get a valid ID token without prompting the user after the initial authorization?

Answer 1

访问令牌是一个不透明的序列，它允许其持有者在给定的时间段内以给定的权限集调用 API。

ID Token 包含有关用户的简要详细信息以及有关它所附加到的令牌的一些元数据。

与支持 openid connect 的身份提供者一起使用的移动应用程序将使用混合流，并将“id_token”或“id_token token”作为响应类型。

我相信在你的情况下我会问的问题是：

1. 此特定实现中的身份验证端点的 id_token 包含哪些声明？只是主题吗？
2. token_id 中的信息对于移动应用程序是否足够？除了用户标识符之外，它还需要哪些用户信息？
3. 是否希望应用程序在身份提供者服务器 api 上进行后续经过身份验证的调用？

艾尔