Oauth 2.0 如何将用户声明映射到API和标识范围?
我有一个identity server的实现。我最近发现的一件事是,如果我有一个映射到API/API作用域(openid API作用域)的用户声明(例如图片),即使它与标识作用域关联,该声明也会作为标识作用域删除 为什么在访问令牌和userinfo端点中都需要相同的用户声明? 据我所知,access_令牌用于API/外部系统消费,而我的最终客户端将使用userinfo中的身份信息进行客户端消费。因此,为了避免获得一个大的身份令牌,最好通过后台通道调用userinfo获得这些信息。我知道另一种选择是将AlwaysInCludeUserClaimsInToken设置为true 目标:从UserInfo端点获取访问令牌中相同的用户声明和响应,而无需始终sincludeuserclaimsindtoken=true 例子 请注意,图片这里只是一个例子来说明这一点,并不是我打算使用的完全相同的用户声明 原始设置(默认)Oauth 2.0 如何将用户声明映射到API和标识范围?,oauth-2.0,identityserver4,openid-connect,Oauth 2.0,Identityserver4,Openid Connect,我有一个identity server的实现。我最近发现的一件事是,如果我有一个映射到API/API作用域(openid API作用域)的用户声明(例如图片),即使它与标识作用域关联,该声明也会作为标识作用域删除 为什么在访问令牌和userinfo端点中都需要相同的用户声明? 据我所知,access_令牌用于API/外部系统消费,而我的最终客户端将使用userinfo中的身份信息进行客户端消费。因此,为了避免获得一个大的身份令牌,最好通过后台通道调用userinfo获得这些信息。我知道另一种选择
- 身份资源:openid
- 身份声明:图片
- 客户:AlwaysIncludeUserClaimsInIdToken:错误
- 访问令牌(无图片声明)
- id_令牌(无图片声明)
- 对UserInfo使用访问令牌:返回声明(包括图片)
- API资源:OpenIDAPI
- API作用域:OpenIDAPI作用域
- API范围声明:图片
- 访问令牌(带图片声明)
- id_令牌(无图片声明)
- 对UserInfo使用访问令牌:不返回声明图片声明
- 客户:始终包括所有索赔。被告:正确
- 访问令牌(带图片声明)
- id_令牌(带图片声明)
- 对UserInfo使用访问令牌:不返回声明图片声明