3

In Autorisierungscode Flow ein Client bekommt normalerweise ID-Token und Zugriffstoken in einem Schritt, und übergibt dann den Zugriffstoken zum Endpunkt Userinfo die eigentlichen Daten in einem zweiten Schritt zu erhalten.Ist es möglich, die Schritte "get token" und "get userinfo" zu kombinieren?

In Bezug auf die OpenID Connect, ist es möglich, diese Schritte in einem zu kombinieren, so dass ein Roundtrip von Client zu OpenID-Anbieter genügt?

N.B. Der eigentliche Inhalt des Access Tokens liegt beim Implementierer eines OpenID-Anbieters, also könnte ich theoretisch die Daten dort hineingeben - aber das scheint keine gute Praxis zu sein, oder?

Antwort

2

Nach OpenId Connect spec:

ID Tokens können andere Ansprüche enthalten.

Und die Spezifikation definiert auch eine Reihe von Standard-claims

Wenn ID-Token Benutzerinformationen enthält behauptet, dass Sie möchten, können Sie diese Benutzerinformationen behauptet, aus dem ID-Token direkt bekommen.

+0

Hmm. So kann ich beliebige Ansprüche in ID-Token legen. Und der Inhalt von Zugriffstoken ist vollständig dem Implementierer überlassen. Das gibt mir mehr Möglichkeiten, als ich gefragt habe ... In diesem Fall würde es mir scheinen, dass Auth-Token der bessere Ort wären, um diese Daten zu veröffentlichen? –