Wenn ich eine /token
Anfrage gefolgt von einer /authorize
Anfrage für Open Id Connect Server sende, weiß ich, dass es erforderlich ist, scope=openid
für /authorize
Anruf einzustellen. Meine Frage ist, ist es erforderlich für /token
Anruf auch?In OIDC ist Scope = Openid nicht für/Token-Aufruf erforderlich?
In OIDC spec sagt nichts darüber.
3.1.3.1. Token anfordern
Ein Kunde macht einen Token Antrag stellt seine Genehmigung erteilen (in Form eines Autorisierungscode) mit dem Token-Endpunkt mit dem grant_type Wert authorization_code, wie in Abschnitt 4.1.3 von OAuth 2.0 beschrieben [ RFC6749]. Wenn der Kunde ein Client-Vertrauliche, dann Sie muss die Token Endpoint Authentifizierung unter Verwendung des Authentifizierungs- Verfahren zu seinen client_id registriert, wie in Abschnitt 9 beschrieben
der Client die Parameter an den Token-Endpunkt sendet die HTTP POST Methode und die Form Serialisierung, nach Abschnitt 13.2, wie beschrieben in Abschnitt 4.1.3 von OAuth 2.0 [RFC6749].
Wenn das der Fall ist, wie funktioniert /token
Endpunkt Implementierung erkennen, ob eine Anforderung ODIC oder OAuth2 ist? Woher weiß es, ob es eine id_token
senden sollte oder nicht?
Verstanden. Vielen Dank. – Bee