Im OpenID Connect Core 1.0 incorporating errata set 1 Section 12.2 aktualisieren ist, sagt:Wie ein id_token
12.2. Successful Refresh Response
Upon successful validation of the Refresh Token, the response body is the Token Response of Section 3.1.3.3 except that it might not contain an id_token.
Ursprünglich wenn die id_token erworben wird, ist es ein signiertes und vielleicht verschlüsselt, JWT. Das id_token wird dann an andere Dienste innerhalb derselben Sicherheitsdomäne weitergeleitet. Für diese anderen Dienste muss sichergestellt werden, dass der Endbenutzer die Anforderung authentifiziert hat. Dies funktioniert gut auf die ursprüngliche Anfrage. In dem Aktualisierungsszenario und wenn das id_token jedoch abgelaufen ist, haben die "anderen Dienste" keine Methode, den Benutzer zu bestätigen.
Sicher die gleichen Informationen sind am Benutzer Info Endpunkt verfügbar, aber dies erfordert die "anderen Dienste", um das Zugriffs-Token zu erhalten. Basierend auf den Prinzipien des geringsten Prinzips hat das Access Token mehr Privilegien als das ID_Token, das weitergeleitet wird.
Die einzige andere Option, die mir bekannt ist, besteht darin, das id_token in ein anderes JWT zu kopieren und es zu senden, aber das ist natürlich mehr "mach Arbeit".
Es scheint mir, dass die Rückgabe eines id_token ein Problem ist, wenn es nicht Umfang Änderungen von der ursprünglichen Anfrage gab.