我对 Oauth2 和 Open Id Connect 感到困惑 我知道 Oauth2 用于授权,oidc 用于身份验证,但 Oauth2 提供访问令牌来访问受保护的资源,而 oidc 提供身份资源,如 id、配置文件(声明) 我的问题是,如果我仅在没有 oidc 的情况下使用 oauth 并获取访问令牌,然后尝试解密它找不到声明?
谢谢大家
OAuth 2.0 主要关注授权,而 OIDC 在 OAuth 2.0 之上添加了一个身份验证层,提供有关用户的身份信息。 JWT 通常用作 OAuth 2.0 中的访问令牌,但令牌格式的选择取决于实现。
如果您仅使用 OAuth 2.0,而不使用 OpenID Connect,则您收到的访问令牌通常专注于提供对安全资源的访问,并且可能不包含用户身份信息。访问令牌旨在代表用户向资源服务器提供对特定资源的访问权限,但它不包含有关用户身份的声明。
相比之下,OpenID Connect 引入了 ID 令牌的概念,即包含有关经过身份验证的用户的信息的 JWT(JSON Web 令牌)。这些 ID 令牌包括用户的唯一标识符 (sub)、姓名 (name) 以及其他相关信息等声明,具体取决于身份验证的范围。
如果您正在寻找用户身份信息,尤其是声明形式的信息,相比之下,使用 OpenID Connect 是一种更简单、更标准化的方法。