開放式ID連接 - 最好使用什麼標記進行身份驗證

Question

我正在嘗試爲我係統實現開放式身份驗證連接身份驗證。

概述我的系統

1上 - 移動應用，雲和服務器。

2-用戶在移動客戶端輸入憑證，客戶端將必要的令牌發送到雲。

3 - 雲將作爲代理工作並將令牌發送到服務器，並且服務器將驗證用戶。

對於這種情況，什麼應該是認證的理想標誌？身份證令牌或訪問令牌？

有沒有任何規範或可靠的來源提到選擇正確的標記的最佳做法/標準？

我'嘗試與ID令牌來工作，我遇到了這個問題 - Open ID connect for native applications, i need get a valid ID token without prompting the user after the initial authorization?

Answer 1

訪問令牌是一個不透明的序列，允許其持有人與一組給定的權限在API調用在一定時期內的時間。

ID令牌包含有關用戶的簡要信息以及有關它附加到的令牌的一些元數據。

與支持openid連接的身份提供程序一起使用的移動應用程序將使用具有'id_token'或'id_token標記'作爲響應類型的混合流。

我相信，在你的情況我會問的問題是：

1. 什麼在這種具體實施中包含有權利要求書的權威性端點id_token？它只是主題嗎？
2. token_id中的信息足夠用於移動應用程序嗎？用戶標識符上需要哪些用戶信息？
3. 應用程序是否期望在身份提供商服務器api上進行隨後的身份驗證呼叫？

Eyal