在授权代码流中,客户端通常一步获取id 令牌和访问令牌,然后将访问令牌传递给 userinfo 端点以在第二步中获取实际数据。
就 OpenID Connect 而言,是否可以将这些步骤合二为一,因此从客户端到 OpenID 提供者的一次往返就足够了?
注意 访问令牌的实际内容取决于 OpenID 提供者的实现者,所以理论上我可以将数据放在那里 - 但这似乎不是一个好的做法,或者是吗?
问问题
113 次
在授权代码流中,客户端通常一步获取id 令牌和访问令牌,然后将访问令牌传递给 userinfo 端点以在第二步中获取实际数据。
就 OpenID Connect 而言,是否可以将这些步骤合二为一,因此从客户端到 OpenID 提供者的一次往返就足够了?
注意 访问令牌的实际内容取决于 OpenID 提供者的实现者,所以理论上我可以将数据放在那里 - 但这似乎不是一个好的做法,或者是吗?