Was ist der Unterschied zwischen id_token und access_token in Auth0

Question

In Auth0 können Sie refresh tokens verwenden. In dieser Verbindung können wir viele zurückgegebenen Parameter sehen:

lock.showSignin({ 
    authParams: { 
    scope: 'openid offline_access' 
    } 
}, function (err, profile, id_token, access_token, state, refresh_token) { 
    // store refresh_token 
}); 

Apparently, access_tokens verwendet werden können, um Benutzerprofildaten abrufen. Aber das scheint für Oauth spezifisch zu sein, und ich dachte, auth0 benutzt openid?

Was ist der Unterschied zwischen id_token und access_token?

Answer 1

OpenID Connect baut auf OAuth2 auf.

• Ein access_token ist nützlich, bestimmte APIs in Auth0 zu nennen (z.B. /userinfo) oder eine API Sie in Auth0 definieren.
• Ein id_token ist ein JWT und stellt den angemeldeten Benutzer dar. Es wird oft von Ihrer App verwendet.
• Ein refresh_token (nur von einer mobilen/Desktop-App verwendet werden) läuft nicht ab (aber ist widerrufbar) und es ermöglicht Ihnen, frisch geprägt access_tokens und id_token zu erhalten.