api - google - OAuth 2 access_token vs OpenId Connect id_token
openid connect español (2)
Originalmente, OAuth y OpenId están diseñados para diferentes propósitos: OpenId para autenticación y OAuth para autorización. OpenId Connect es una unificación de los dos y sirve para ambos, pero no cambia sus funcionalidades originales. Teniendo eso en cuenta, deberías poder descubrirlo por ti mismo. ;-)
El id_token se utiliza para identificar al usuario autenticado, por ejemplo, para SSO. El access_token debe usarse para probar los derechos de acceso a los recursos protegidos, por ejemplo, para el punto final de información de usuario en OpenId Connect.
Aunque he trabajado con OAuth 2 antes, soy un novato en Open ID Connect.
Leyendo los tutoriales y las documentaciones que he encontrado tanto access_token e id_token donde access_token es la cadena aleatoria única generada de acuerdo con OAuth 2 y id_token es JSON Web Token que contiene información como la identificación del usuario, algoritmo, emisor y otra información que puede ser utilizado para validarlo. También he visto proveedores de API que proporcionan access_token e id_token y, por lo que sé, es para compatibilidad con versiones anteriores.
Mi pregunta es: ¿ es posible utilizar tanto el access_token como el id_token para acceder a los recursos protegidos ? ¿O es id_token solo para fines de verificación y access_token se usa para obtener acceso a recursos protegidos?
access_token es útil para llamar a ciertas API en Auth0 (por ejemplo, / userinfo) o a una API que usted define en Auth0.
id_token es un JWT y representa al usuario que ha iniciado sesión. A menudo es utilizado por su aplicación.
¿Es posible usar tanto access_token como id_token para acceder a los recursos protegidos?
No completamente, primero, necesitas usar id_token para iniciar sesión,
segundo, obtendrás un accessToken,
por último, use accessToken para acceder a los datos.