OpenID Connect 및 토큰 사용을 사용하여 SSO 구현

Question

시나리오 - OpenID를 사용하여 인증해야하는 레거시 응용 프로그램입니다. 키 클로크를 IP로 사용하고 있습니다.

모두 정말 여러 응용 프로그램에 대한 단일 인증 메커니즘이 필요합니다. 인증 후, 나는 또한 'user-id' 정보 (클레임)가 필요합니다.

나는 access_token (범위 openid)을 가지고 있습니다. "user-id"정보에 액세스하려면 id_token이 필요합니까? 또는 DO 코드를 해독해야합니다. "access_token?

Answer 1

실제 토큰은 사용자가 로그인 한 사용자, 사용자가 로그인 한 위치 및 토큰이 실제로 애플리케이션에 발행되었는지 여부를 알려주기 때문에 id_token이 필요합니다.

access_token에는 다른 의미가 있습니다. 그것은 독자적으로는 아무 것도 알려주지 않지만 보호 된 리소스에 액세스하는 데 사용할 수 있습니다. 또한 액세스 토큰은 man-in-the-middle에 의해 스왑 될 수 있습니다.