Внедрение SSO с использованием OpenID Connect и использование токенов

Сценарий - унаследованные приложения, которые необходимо аутентифицировать с помощью OpenID connect. Мы используем keycloak в качестве IP.

Все, что мне действительно нужно, это единый механизм аутентификации для нескольких приложений. После аутентификации мне также нужна 'user-id' информация (претензия).

У меня есть access_token (scope openid). Нужен ли мне еще id_token для доступа к информации "идентификатор пользователя"? или мне нужно декодировать "access_token?"


keycloak access-token openid-connect google-oauth-java-client
person TheMonkWhoSoldHisCode    schedule 22.12.2016    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Вам действительно нужен id_token, потому что только этот токен сообщает вам, кто пользователь, который вошел в систему, где он вошел в систему и был ли токен фактически выпущен для вашего приложения, а не заменен на какой-то другой.

access_token имеет другую семантику: он ничего не сообщает вам сам по себе, но может использоваться для доступа к защищенным ресурсам. Более того, токен доступа может быть заменен посредником.

person Hans Z.    schedule 22.12.2016