Реализация единого входа с использованием OpenID Connect и использование токенов

Question

Сценарий - устаревшее приложение (приложения), которое необходимо пройти аутентификацией с использованием соединения OpenID. Мы используем keycloak как IP.

Все, мне действительно нужен единый механизм аутентификации для нескольких приложений. После аутентификации мне также нужна информация 'user-id'.

У меня есть access_token (сфера openid). Мне также нужен id_token для доступа к информации «идентификатор пользователя»? или мне нужно сделать, чтобы декодировать "access_token?

Answer 1

Вы действительно нуждаетесь в id_token, потому что только этот маркер говорит вам, кто является пользователем, который вошел в систему, когда пользователь вошли в и ли маркер был фактически выдан для вашего приложения, а не заменен на какой-то другой.

access_token имеет другую семантику: он ничего не говорит сам по себе, но может быть использован для доступа к защищенным ресурсам. Более того, токен доступа может быть заменен человеком по середине.