Я потратил последние несколько дней на чтение всех спецификаций в отношении OAuth2 и OpenIDConnect и внедрение тестового клиента с использованием Thinktecture Identity Server. Я также следил за несколькими курсами по множественному выбору, и я думаю, что они понимают основную суть этого. Однако я все еще очень смущен в отношении типов ответов.OpenIDConnect Тип ответа Confusion
Спецификация OpenIDConnect указывает, что типы ответов гибридного потока представляют собой комбинацию «код», «id_token» и «токен». Я понимаю, что «id_token» позволяет нам сначала получить доступ к базовой информации об идентификаторе.
Я также понимаю, что код «относится к коду авторизации, а« токен »относится к токену доступа и сочетанию« кода »с одним или двумя из двух других триггеров потока, но я понимаю, что вы меняете код авторизации для маркер доступа в потоке авторизации, а неявный поток подает код доступа неявно?
Может кто-нибудь прояснить мое замешательство?
Спасибо за очистку терминологии - я до сих пор не знаю, зачем мне понадобиться второй 'access_token' из' token_endpoint'? Будет ли это потому, что у меня может быть приложение, которое может использовать оба потока? – RNDThoughts
Да, если ваше приложение способно для обоих потоков, оно может получить 2 токена доступа; он может это сделать, потому что он доверяет потоку обратного канала больше, чем передний канал. –
Другая причина в том, что токен обновления отображается только на заднем канале. Вы никогда не получите токен обновления с использованием неявного потока, поэтому то же самое должно быть верно для токена, возвращаемого с конечной точки авторизации во время гибридного потока. –