我正在考虑使用id令牌代替id令牌进行授权,以便资源服务器可以验证其签名并从中提取用户ID。我不知道这种方法有什么缺点吗?
我想如果丢掉访问令牌,就不能使用验证端点。对于我们来说,用户授予访问权限的范围无关紧要,因为客户端应用程序和OIDC的身份提供者均归我们所有。
我正在使用该库来实现OAuth2和OpenID服务器。 https://github.com/bshaffer/oauth2-server-php
oauth oauth-2.0 openid-connect
oauth ×1
oauth-2.0 ×1
openid-connect ×1