当我使用用户代理流向我的 SFDC 组织验证我的单页应用程序时,我得到了一个访问令牌和一个 openID 令牌。我需要使用其中一个(不确定是哪个)来验证并访问另一个系统(同样,通过 API)。
我的理解是在这种情况下我需要使用 OpenID 令牌,因为其他系统不知道如何验证访问令牌。虽然可以使用用于签名的相同证书(我的 SFDC 组织中的那个)来验证 Open ID 令牌签名,并且可以基于该证书对用户进行身份验证。有些事情听起来不对,谁能帮助解释我如何使用从一个系统(和 IDP)收到的一个令牌来访问另一个系统
这是令牌使用面临的常见问题。这是与Google oAuth类似的问题的链接
简而言之,id token 是为客户端准备的。客户端使用 id 令牌并通过验证最终用户来验证它。另一方面,访问令牌是授予授权。它允许客户端访问受保护的资源,代表最终用户。通过这种方式,您的问题的答案是使用访问令牌。
要验证访问令牌并获取最终用户详细信息,您可以使用 userinfo 端点。SalesForce 通过 url 公开这个端点,
https://login.salesforce.com/services/oauth2/userinfo
此端点使用访问令牌,验证它们。如果有效,它将返回有关向其颁发访问令牌的最终用户的信息。这样您就可以验证访问令牌并接收。从这篇文章中阅读更多