鉴于 Microsoft 身份平台颁发的 JWT 令牌 (OIDC),我如何查看它是访问令牌还是 ID 令牌?
我确信
scp
(范围)声明只会出现在访问令牌中,而 roles
(角色)声明可以同时出现在访问令牌和 ID 令牌中。但我不希望检查依赖于假设
我同意@EnenDaveyBoy,ID令牌不包含范围,因此您不能使用ID令牌来验证/授权API。
对于 sample,我通过 Postman 生成了令牌:
https://login.microsoftonline.com/TenantID/oauth2/v2.0/token
client_id:ClientID
grant_type:authorization_code
scope:https://graph.microsoft.com/.default openid
code:code
redirect_uri:https://jwt.ms
client_secret:ClientSecret
在 jwt.ms 中解码时的 访问令牌 如下所示:
解码后的ID令牌如下所示:
参考:
ID 令牌和访问令牌:(auth0.com) by Andrea Chiarelli