开放式ID连接 - 最好使用什么标记进行身份验证

Question

我正在尝试为我系统实现开放式身份验证连接身份验证。

概述我的系统

1上 - 移动应用，云和服务器。

2-用户在移动客户端输入凭证，客户端将必要的令牌发送到云。

3 - 云将作为代理工作并将令牌发送到服务器，并且服务器将验证用户。

对于这种情况，什么应该是认证的理想标志？身份证令牌或访问令牌？

有没有任何规范或可靠的来源提到选择正确的标记的最佳做法/标准？

我'尝试与ID令牌来工作，我遇到了这个问题 - Open ID connect for native applications, i need get a valid ID token without prompting the user after the initial authorization?

Answer 1

访问令牌是一个不透明的序列，允许其持有人与一组给定的权限在API调用在一定时期内的时间。

ID令牌包含有关用户的简要信息以及有关它附加到的令牌的一些元数据。

与支持openid连接的身份提供程序一起使用的移动应用程序将使用具有'id_token'或'id_token标记'作为响应类型的混合流。

我相信，在你的情况我会问的问题是：

1. 什么在这种具体实施中包含有权利要求书的权威性端点id_token？它只是主题吗？
2. token_id中的信息足够用于移动应用程序吗？用户标识符上需要哪些用户信息？
3. 应用程序是否期望在身份提供商服务器api上进行随后的身份验证呼叫？

Eyal