En el flujo de Implict de OpenId Connect, una vez que el servidor de autorización ha autenticado al usuario y le ha otorgado al cliente acceso a las reclamaciones solicitadas, se le devuelve un token de identificación al cliente.
Este token de identificación contiene Reclamaciones sobre la autenticación de un usuario final por parte de un servidor de autorización . Estas reclamaciones consisten en un conjunto de reclamaciones requeridas, algunas opcionales y "PUEDEN contener otras reclamaciones".
En un momento posterior, el cliente puede entregar el token de acceso a una API, que a su vez puede recuperar las reclamaciones de información desde el punto final UserInfo.
¿Cuál es la razón por la que las reclamaciones devueltas por el punto final UserInfo no se devuelven directamente al cliente después de que el usuario haya sido autorizado en su lugar, como parte del token de identificación? ¿Por qué es necesario el punto final UserInfo? Si las reclamaciones se devolvieran como parte del token de identificación, no se necesitarían reclamaciones adicionales.
¿Se debe a que el token de identificación puede contener datos que no se quieren compartir con la API, como un token de actualización?