oAuth2使用用戶信息的訪問令牌

Question

我們在使用oAuth2獲取用戶信息的方式上，在公司中有一點爭論。

第一個開發人員正在獲取訪問令牌中的用戶信息，其中包含庫spring-security-oauth2並對其進行解碼。

第二個開發者使用開放的識別碼的oauth2的頂部與庫Nimbus連接，這樣你會得到的UserInfo端點的用戶信息。

哪種方式更好parctice？以及爲什麼使用開放ID連接，如果我可以讓我的用戶信息沒有這個

感謝您的幫助和解釋

Answer 1

訪問令牌 - 而事實上裸露的OAuth 2.0 - 不能用於對用戶進行認證。它只能用於檢索有關用戶的信息，而用戶可能不是操作瀏覽器的用戶。請參閱：https://oauth.net/articles/authentication/

因此，如果您想以符合標準的方式對用戶進行身份驗證，則需要使用OpenID Connect。