Oath2 open Id connect — Как обменять access_token на id_token
Я использую Forgerock в качестве поставщика удостоверений и ищу что-то в их API-интерфейсе, где я могу предоставить токен доступа в виде токена носителя авторизации и получить соответствующий токен JWT для использования в качестве токена носителя авторизации в последующем API-интерфейсе. вызов.
Может ли кто-нибудь помочь мне с тем, какую конечную точку я могу вызвать в Forgerock, чтобы сделать это? Я просмотрел конечную точку userinfo, которая, кажется, возвращает то, что находится в id_token в формате json, но мне нужен фактический id_token. «Обмен токенов».
Спасибо
Ответы 2
Нет конечной точки, определяемой спецификациями для получения маркера идентификатора для маркера доступа. Спецификации определяют конечную точку интрспекции токена (RFC7662) и конечную точку информации о пользователе (с которой вы уже разобрались).
Помимо этого, лучший вариант — получить токен идентификатора из самого ответа токена. Для этого вам необходимо следовать формату запроса OpenID Connect, который включает значение области openid. Для этого вам потребуется согласие на конечное использование (в большинстве случаев), которое позволяет серверу авторизации делиться своими утверждениями через токен идентификатора.
Документ Google говорит, что вы можете указать response_type для gapi?.auth.authorize
Вы можете использовать его для получения id_token
нельзя поменять access_token на id_token без явного взаимодействия с пользователем, как того требует спецификация, определяющая id_token (OpenID Connect)