Mientras que OAuth2 no define explícitamente qué tipo de token usar, OpenID Connect define una API y un formato de datos para realizar los flujos de autorización de OAuth2.
¿En qué ocasiones se devuelve un JWT en OpenID Connect?
Mientras que OAuth2 no define explícitamente qué tipo de token usar, OpenID Connect define una API y un formato de datos para realizar los flujos de autorización de OAuth2.
¿En qué ocasiones se devuelve un JWT en OpenID Connect?
Flujo de autorización: el cliente solicita un código de autorización al punto final de autorización (
/authorize). Este código puede ser usado nuevamente el punto final del token (/token) para solicitar un token de ID (en formato JWT), un token de acceso o un token de actualización.Flujo implícito: el cliente solicita tokens directamente desde el punto final de autorización (
/authorize). Los tokens se especifican en el solicitud. Si se solicita un token de ID, se devuelve en formato JWT.Flujo híbrido: el cliente solicita un código de autorización y ciertos tokens desde el punto final de autorización (
/authorize). Si una identificación se solicita token, se devuelve en formato JWT. Si un token de ID es no solicitado en este paso, puede ser solicitado más tarde directamente desde el punto final del token (/token).
Fuente: Sebastián E. Peyrott, Auth0 Inc. El manual de JWT (ubicaciones de Kindle 262-269). Versión Kindle.
Lea otras preguntas en las etiquetas authentication authorization openid-connect jwt