Блог

Клиентское приложение извлекает idtoken для аутентификации. Но для сервера ресурсов ему необходимо снова позвонить на сервер аутентификации и получить маркер доступа. Следовательно, имеет ли смысл делать два вызова для каждого потока oauth2.0. Токен доступа-это то, что будет отправлено на сервер ресурсов. Я что-то здесь упускаю.

С помощью OpenID Connect ID-токен возвращается клиенту одновременно с токеном доступа. Таким образом, нет особой необходимости делать два запроса, чтобы получить два токена.

Если вы также запросите токен обновления, то он также будет возвращен в то же время.

API (Сервер ресурсов) получает токены доступа только от клиента и может, не спрашивая поставщика удостоверений, проверить токен. API не получает никакого ID-токена.