Access Token vs Id Token

最新推荐文章于 2023-09-01 11:57:18 发布
最新推荐文章于 2023-09-01 11:57:18 发布
阅读量302 收藏 1
点赞数
分类专栏: 权限 文章标签: 认证 Powered by 金山文档
原文链接:https://docs.authing.cn/v2/concepts/access-token-vs-id-token.html
版权

与身份相关的 Token 有两种:Access Token 和 Id Token。

Access Token

Access Token 的格式可以是 JWT (opens new window)也可以是一个随机字符串。应当携带 Access Token 访问受保护的 API 接口,API 接口应该检验 Access Token 中的 scope 权限项目决定是否返回资源。例如,有一个应用使用了谷歌登录,然后同步用户的日历信息,谷歌会返回 Access Token 给应用。当应用希望读写用户的日历数据时,应用需要携带返回的 Access Token 访问谷歌的 日历 API。

绝对不要使用 Access Token 做认证。Access Token 本身不能标识用户是否已经认证

Access Token 中只包含了用户 id,在 sub 字段。在你开发的应用中,应该将 Access Token 视为一个随机字符串,不要试图从中解析信息。

Access Token 内容示例:

{"jti":"YEeiX17iDgNwHGmAapjSQ","sub":"601ad46d0a3d171f611164ce",// subject 的缩写,为用户 ID"iat":1612415013,"exp":1613624613,"scope":"openid profile offline_access","iss":"https://yelexin-test1.authing.cn/oidc","aud":"601ad382d02a2ba94cf996c4"// audience 的缩写,为应用 ID}
        复制成功

注意 Access Token 不包含除 id 之外的任何用户信息。包含 scope 权限项目,用于调用受保护的 API 接口。所以 Access Token 用于调用接口而不是用作用户认证

在很多场景下,你希望通过 Access Token 获取更多的用户信息,可以携带 Access Token 调用 Authing 的用户信息端点(自建应用 应用配置 标签页 认证配置 模块)来获取完整的用户信息。

Id Token

Id Token 的格式为 JWT (opens new window)。Id Token 仅适用于认证场景。例如,有一个应用使用了谷歌登录,然后同步用户的日历信息,谷歌会返回 Id Token 给这个应用,Id Token 中包含用户的基本信息(用户名、头像等)。应用可以解析 Id Token 然后利用其中的信息,展示用户名和头像。

在使用 Id Token 之前应该先验证合法性

不推荐使用 Id Token 来进行 API 的访问鉴权。

每个 Id Token 的受众(aud 参数)是发起认证授权请求的应用的 ID(或编程访问账号的 AK)。

Id Token 中的内容示例:

{"sub":"601ad46d0a3d171f611164ce",// subject 的缩写,为用户 ID"birthdate":null,"family_name":null,"gender":"U","given_name":null,"locale":null,"middle_name":null,"name":null,"nickname":null,"picture":"https://files.authing.co/authing-console/default-user-avatar.png","preferred_username":null,"profile":null,"updated_at":"2021-02-04T05:02:25.932Z","website":null,"zoneinfo":null,"at_hash":"xnpHKuO1peDcJzbB8xBe4w","aud":"601ad382d02a2ba94cf996c4",// audience 的缩写,为应用 ID"exp":1613624613,"iat":1612415013,"iss":"https://oidc1.authing.cn/oidc"}

追兔子的乌龟
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【笔记】浅谈OAuth2 accessToken和OIDC idToken的理解和使用场景
LeoSong121的博客
04-02 1万+
前言 OAuth2 官网:https://oauth.net/2/ OIDC:Open ID Connect 官网:http://openid.net/connect/ What is OpenID Connect? OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User bas
JWT TokenID TokenAccess Token、Refresh Token
乌龟的专栏
02-22 7094
JWT TokenID TokenAccess Token、Refresh Token
什么是 ID Token
里查叔叔
09-17 4170
什么是 ID TokenID Token 完整字段含义二级目录三级目录 OIDC (OpenID Connect) 协议 (opens new window)对 OAuth 2.0 协议 (opens new window)最主要的一个扩展就是 ID Token 数据结构。ID Token 相当于用户的身份凭证,开发者的前端访问后端接口时可以携带 ID Token,开发者服务器可以校验用户的 ID Token 以确定用户身份,验证通过后返回相关资源。 ID Token 本质上是一个 JWT Token,包含
API:access_token
09-19 322
  access_token存在意义:  1、身份验证(一个channel_id一般有0个或1个有效的access_token)   2、限制用户访问服务器数据的有效期   3、限制用户访问权限   access_token执行流程:      总结access_token几个要点:   1、token是在使用方请求服务器后,服务器再生成token并进行返回...
如何用Google APIs和Google的应用系统进行集成(4)----获得Access Token以通过一些Google APIs的OAuth2认证...
各研发管理
06-02 435
在上篇文章中:"如何用Google APIs和Google的应用系统进行集成(3)----调用发现Google APIs的RESTful的服务"一文中,我们直接用jdk的java.net.*中的包去调用"发现Google APIs的RESTful的服务"(Google Discovery RestFul web service),没有给服务器端传入任何的认证信息,我们能直接调用;但是对于另外的...
如何基于python对接钉钉并获取access_token
12-20
1.首先注册应用,获取 appkey、... ...def get_token(): # try: res = requests.get(api_url) if res.status_code == 200: str_res = res.text token = (json.loads(str_res)).get('access_token') return token 2
微信中控服务器(一个获取微信 access_token 和 ticket 的服务).zip
最新发布
02-27
|文件名|功能简介| |:--------:|------| |conf/wx_config.json|设置微信 app_id 和 app_secret| |destinations/wx_flush_access_token.js|获取access_token| |shipper.js|将access_token写到文件, 或读取access_...
oauth2获取access_token1
08-08
OAuth2 获取 access_token 的几种方式 在 OAuth2 协议中,获取 access_token 是一个非常重要的步骤。 access_token 是客户端访问资源服务器的唯一凭证,用于身份验证和授权。下面将详细介绍 OAuth2 获取 access_...
Node.js微信 access_token ( jsapi_ticket ) 存取与刷新的示例
11-28
微信文档里存在两种access_token:普通 access_token 和 网页授权 access_token。具体区别参考:https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1421140842 以下提到的 access_token 均为普通的 access_...
微信企业号 开发平台token验证
08-06
微信企业号 开发平台token验证,修改为自己的token和随机数,企业号id即可。
accessToken 和 refreshToken区别
Mr.绵羊的知识星球
09-01 2042
accessToken和refreshToken关联和区别
OIDC认证+授权
qq_38644495的博客
04-13 5272
五分钟理解什么是 OIDC (OpenID Connect) 什么是 OIDC? OIDC 的全称是 OpenID Connect,是一套基于 OAuth 2.0 的认证 + 授权协议,用于用户身份认证,将用户数据安全地暴露给第三方。 OIDC 与 OAuth 2.0 有何不同? OAuth 2.0 是用于授权的行业标准协议。OAuth 2.0 致力于简化客户端开发人员的工作,同时为 Web 应用程序,桌面应用程序,移动电话和物联网设备提供特定的授权流程。 以上是 OAuth 2.0 的官方定义。我们举一
OIDC认证授权协议
分享技术,共同进步!
10-18 8138
一、OIDC简介 OIDC是OpenID Connect的简称,OIDC=(Identity, Authentication) + OAuth 2.0。它在OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议。OAuth2是一个授权协议,它无法提供完善的身份认证功能,OIDC使用OAuth2的授权服务器来为第三方客户端提供用户的身份认证,并把对应的身份认证信息传递给客户端,......
tokenId使用和原理
暖夏的博客
01-16 8633
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
expected unqualified-id before '(' token
热门推荐
linengeir的专栏
12-15 8万+
编译c++的工程,引用头文件, 报错:expected unqualified-id before '(' token 扯淡的问题,害了我浪费好长时间 最终发现,和cpp中调用, 头文件的调用顺序有关系, 之前队友的代码头文件调用关系混乱,经过梳理头文件的调用顺序,此问题解决. 这个问题的解决办法就是:梳理头文件的调用顺序,避免一个头文件被多次引用
OAuth2----id作为token认证方案分析
Xjzzon的博客
12-06 1219
OAuth2----id作为token认证方案分析 整个方案实现如下: Resource-Service即资源服务器,在可以看作是各个业务服务,比如报警源服务、规则引擎服务,即那些和用户认证授权信息功能分开的服务。可以通过token-id作为凭证对它们进行访问,而他们并不产生凭证信息,token-id。 Auth-Service即授权服务器,即用户认证授权的服务,用于产生token-id的,在这个方案里,它也是一个资源服务器,因为它需要提供一个接口,使得其他人可以通过token-id获取到该token
Android客户端和服务端如何使用Token和Session
iteye_12242的博客
03-03 363
对于初学者来说,对Token和Session的使用难免会限于困境,开发过程中知道有这个东西,但却不知道为什么要用他?更不知道其原理,今天我就带大家一起分析分析这东西。 一、我们先解释一下他的含义: 1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便...
解码 id_token
weixin_34409357的博客
03-22 2606
简介id_token是一个特殊的token,在Microsoft Graph的认证和授权过程中颁发,它包含了已认证用户的一些信息。本文将介绍如何通过实例理解id_token,并且演示了如何解码。准备环境本文假设你已经知道如何在Azure AD中创建应用程序注册,并且在本地创建一个最简单的网站应用程序,下面这个是用asp.net core 创建的一个例子using System; using Sys...
获取拼多多access token
05-27
2. 创建应用完成后,您需要获取应用的client_id和client_secret,这是您获取access token所必需的身份验证信息。 3. 然后,您需要通过拼多多开放平台提供的OAuth2.0授权机制,向拼多多请求授权,并获取授权码。 4....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值