在混合流/赠款 -
response_type = code token id_token
在这种情况下,客户端接收id_token和access_token 2次:
1)来自/授权端点(以及代码)
2)来自/ token端点(交换令牌代码)
我在几个网站上读到这些令牌,收到两次,可能总是不一样。两次接收令牌的用途是什么?它们是如何使用的?是不是只从授权端点获取代码并将其与令牌端点交换足够的令牌(即授权代码流)?
我担心这不是广泛理解或同意的规范。有人可能会争辩说,从反向通道接收令牌本质上更安全,因此比在前置通道中获取它们具有安全性和保证优势。我不认为有人提出了一个引人注目的用例,因为它也在同一流程中接收前端通道中的令牌。