En OpenId Connect, ¿por qué no se incluyen las reclamaciones solicitadas en el token de identificación?

3

En el flujo de Implict de OpenId Connect, una vez que el servidor de autorización ha autenticado al usuario y le ha otorgado al cliente acceso a las reclamaciones solicitadas, se le devuelve un token de identificación al cliente.

Este token de identificación contiene Reclamaciones sobre la autenticación de un usuario final por parte de un servidor de autorización . Estas reclamaciones consisten en un conjunto de reclamaciones requeridas, algunas opcionales y "PUEDEN contener otras reclamaciones".

En un momento posterior, el cliente puede entregar el token de acceso a una API, que a su vez puede recuperar las reclamaciones de información desde el punto final UserInfo.

¿Cuál es la razón por la que las reclamaciones devueltas por el punto final UserInfo no se devuelven directamente al cliente después de que el usuario haya sido autorizado en su lugar, como parte del token de identificación? ¿Por qué es necesario el punto final UserInfo? Si las reclamaciones se devolvieran como parte del token de identificación, no se necesitarían reclamaciones adicionales.

¿Se debe a que el token de identificación puede contener datos que no se quieren compartir con la API, como un token de actualización?

    
pregunta Nitramk 15.06.2015 - 17:52
fuente

1 respuesta

1

Considere que el punto del servidor de autorización es simplemente decidir si se le debe permitir hacer algo. El objetivo del punto final de información del usuario es proporcionar información sobre quién es usted. El hecho de que el servidor de autorización pueda proporcionarle esta información no significa que deba .

En algunos casos, es posible que el servidor de autorización no sepa quién eres más allá de algunas credenciales, por lo que se ofrece a otro servidor para proporcionar más información.

    
respondido por el Steve 31.07.2015 - 19:48
fuente

Lea otras preguntas en las etiquetas