這是我們今天遇到的問題。在決定在這裏提出問題之前,我儘可能地在網上查看。OAuth 2.0訪問令牌響應中是否應包含resource_owner/User-id?
問題是,當用戶使用用戶名/密碼發出「訪問令牌請求」時,訪問令牌響應是否應該包含「用戶ID」字段?
OAuth 2.0 spec表示可以有一個額外的字段(在spec中搜索「example_parameter」)作爲訪問令牌響應的一部分。這個額外的字段可以是用戶ID嗎?
但是,許多像facebook/google/twitter這樣的公司並未提供用戶標識作爲訪問令牌響應的一部分。用戶ID是作爲驗證令牌響應的一部分提供的。
未提供用戶標識作爲訪問令牌響應的一部分的原因是什麼?如果我們需要一個用戶ID,爲什麼我們必須再打一次電話(額外的往返旅程)?提供用戶ID作爲訪問令牌響應的一部分的後果是什麼?