假设我们有3个依赖方和1个OpenID提供者(=身份提供者)。如果用户想在第一个应用程序中登录,他将被重定向到身份提供者(通过授权代码流),并且第一个应用程序将在流的末尾具有id令牌和访问令牌。
如果用户在10分钟内想登录到第二个依赖方,他将被自动重定向到IDP(通过授权代码流),IDP将通过cookie识别用户。因此,IDP不会要求用户进行身份验证,在流程结束时,第二个依赖方将拥有ID令牌和访问令牌。
我的问题:您能否确认第二个依赖方的ID令牌和访问令牌将与第一个依赖方的ID令牌和访问令牌不同?
1条答案
按热度按时间nzk0hqpo1#
是的,它们应该不同。
在ID令牌中,
aud
声明应包含令牌所针对的依赖方应用程序。在访问令牌中,通常会有类似
client_id
声明的内容,这样依赖方就可以识别该令牌被颁发给了哪个客户端--尽管这并不保证。有关OpenID Connect JWT标记的详细信息,请参见JWT规范。