В чем разница между id_token и access_token в Auth0

В Auth0 вы можете использовать обновить токены. В этой ссылке мы видим много возвращаемых параметров:

lock.showSignin({
  authParams: {
    scope: 'openid offline_access'
  }
}, function (err, profile, id_token, access_token, state, refresh_token) {
  // store refresh_token
});

По-видимому, access_tokens можно использовать для извлечения данных профиля пользователя. Но это, похоже, специфично для oauth, и я думал, что auth0 использует openid?

В чем разница между id_token и access_token?

ОТВЕТЫ

Ответ 1

OpenID Connect построен поверх OAuth2.

  • А access_token полезно вызывать определенные API в Auth0 (например, /userinfo) или API, который вы определяете в Auth0.
  • An id_token является JWT и представляет зарегистрированного пользователя. Он часто используется вашим приложением.
  • A refresh_token (только для использования приложением для мобильных/настольных компьютеров) не истекает (но отменяется), и он позволяет вам получать недавно отчеканенные access_tokens и id_token.