0
假設我有一個本地應用程序需要發送請求的Web API。此API需要通過本機應用程序來驗證用戶是誰發出這些請求。 OpenID Connect似乎是正確的選擇,因爲它涉及身份驗證而非OAuth授權。OpenID Connect - 在這種情況下,id標記是否應該發送到受保護的資源?
本機應用程序將用戶憑證發送給IDP,並獲取訪問令牌(用於授權)和ID令牌(用於驗證)。根據我對OIDC的理解,訪問令牌將被髮送到API,但id令牌僅用於本地客戶端應用程序。這對我來說沒有意義,因爲它關心的是用戶是誰,而不是原生應用。
那麼,爲什麼id標記還沒有傳遞給受保護的資源(aka API)呢?如果您沒有將ID標記傳遞給API,那麼什麼保證訪問標記是安全的並且可以用於對用戶進行身份驗證?否則,它似乎失去了通過OAuth使用OIDC的好處。