在与提供者进行身份验证后,应用程序通常会代表用户同时收到 ID token 和访问 token 。现在似乎有两种方法可以断言用户是谁。
两者似乎都是可以接受的途径,但是在某些情况下是否应该使用其中一种?
最佳答案
如果您有两个 token 并且 ID token 包含您需要的所有信息,则可以使用任何一种方式。以下是我想到的一些差异:
关于security - 用于身份断言的 ID token 或/userinfo,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46212029/