OpenId Connect agrega autenticación al protocolo OAuth2. OAuth2 es un protocolo utilizado para la autorización. ¿Pero qué pasa si solo me interesa autenticar a un usuario? Después de leer sobre OpenId Connect, parece que recibes un token de ID y un token de acceso en caso de éxito. Pero qué pasa si no me importa la autorización aquí. ¿Puedo omitir el token de acceso del protocolo? ¿Hay mejores protocolos para usar si solo me interesa la autenticación (por ejemplo, SAML)?
Parece que encontré la respuesta en el token de acceso:
UserInfo Endpoint
Cabe señalar que los clientes no están obligados a usar el acceso token, ya que el token de ID contiene toda la información necesaria para Procesando el evento de autenticación. Sin embargo, con el fin de proporcionar compatibilidad con OAuth y que coincida con la tendencia general de autorización de identidad y otro acceso a API en paralelo, OpenID Connect siempre emite el token de ID junto con un token de acceso OAuth.
Lea otras preguntas en las etiquetas authentication oauth authorization openid-connect