1

场景 - 需要使用 OpenID 连接进行身份验证的遗留应用程序。我们使用 keycloak 作为 IP。

我真正需要的是针对多个应用程序的单一身份验证机制。认证后,我还需要'user-id'信息(索赔)。

我有 access_token (范围openid)。我是否还需要id_token访问“用户 ID”信息?还是我需要解码“ access_token

4

1 回答 1

2

您确实需要 ,id_token因为只有该令牌告诉您登录的用户是谁,用户登录的位置以及该令牌是否实际上是为您的应用程序颁发的,而不是交换给其他的。

有不同的access_token语义:它自己什么都不告诉你,但可以用来访问受保护的资源。此外,访问令牌可以由中间人交换。

于 2016-12-22T17:34:23.140 回答