ID 令牌與存取令牌

ID 令牌和存取令牌之間的差異為何？存取令牌在 OAuth 中定義，ID 令牌在 OpenID Connect 中定義。

存取令牌 是 OAuth 用戶端用來向 API 發出請求的。API 旨在讀取和驗證存取令牌。ID 令牌載有使用者驗證時發生的資訊，並供 OAuth 用戶端讀取。ID 令牌也可能載有使用者的資訊，例如其姓名或電子郵件地址，不過 ID 令牌並不要求提供這些資訊。

以下是 ID 令牌和存取令牌之間的進一步差異

• ID 令牌供 OAuth 用戶端讀取。存取令牌供資源伺服器讀取。
• ID 令牌是 JWT。存取令牌 可以是 JWT，但也可以是隨機字串。
• 絕不應向 API 傳送 ID 令牌。絕不應由用戶端讀取存取令牌。

相關資訊

• 存取令牌
• 更新令牌

更多資源

• ID 令牌 (oauth.com)
• ID 令牌與存取令牌：差異何在？ (auth0.com)
• 我不喜歡身分識別令牌 (leastprivilege.com)