OpenID Connect Spec OAuth 2.0 Multiple Response Type Encoding Practices声明多个 response_type 可以组合,例如response_type="code token". 现在我想知道请求授权码和令牌有什么好处。如果您已经拥有令牌,验证码不是多余的吗?
问问题
2490 次
2 回答
5
OAuth 2.0 是一个协议框架,可以在其上构建其他协议,OpenID Connect 就是这种协议的一个示例。
特别是对于 OpenID Connect,使用组合响应类型是有意义的,因为有 2 个令牌在起作用:access_token 和 id_token。使用“response_type”,客户端可以请求应该如何传递每个令牌。
在您给出的示例中,access_token 将作为身份验证响应的一部分通过前端通道传递,但 id_token 将在反向通道调用中的令牌端点交换“代码”为 id_token 时传递。
这样做的一个原因可能是 id_token 是一个签名的 JWT,当从适当的 TLS 保护的令牌端点获取时,不必在本地验证,因此客户端代码可以很简单。无论如何,access_token 对客户端是不透明的,并且不会从中受益。
于 2014-11-06T19:14:49.263 回答
2
我从来没有见过这在实践中使用过。是的,拥有令牌会降低使用代码流的价值。
于 2014-11-05T01:34:52.583 回答