Security OAuth2.0概念

我对OAuth2密码授予类型的概念感到困惑

在令牌中的实现与使用端点/声明类似
在或中，令牌由JSON实现，对象包含所有客户端凭据详细信息

---

有人能帮你更好地澄清这个概念吗？

如果你指的是访问令牌，那么它可以是任意一种类型（没有特殊含义的字符串或JSON、XML或其他格式）。报告说：

访问令牌是一个字符串，表示向用户颁发的授权 客户字符串对于客户端通常是不透明的。代币 表示用户授予的特定访问范围和持续时间 资源所有者，并由资源服务器和授权强制执行 服务器

令牌可以表示用于检索授权的标识符 信息或可能自身包含授权信息 可验证方式（即，由一些数据和 签名）

因此，这取决于OAuth2实现

---

如果您指的是（来自OpenID Connect），那么它必须是JWT（签名JSON）格式。

根据客户端系统代表最终用户获取访问令牌的方式，有四个Oauth2流来获取访问令牌（不是ID令牌）。使用OAuth2密码授权流，客户端应用程序显示登录页面，获取密码并使用来自授权服务器的RESTAPI调用对用户进行身份验证。验证成功后，授权服务器将令牌返回给客户端应用程序。例如，移动应用程序，但其安全性不如其他Oauth2流，应仅与受信任的客户端应用程序一起使用。我已经就此写了一篇文章，您可以查看更多详细信息，链接在这里

很抱歉问这个问题。这个概念对我来说是全新的。在oauth正在实现的两个站点中，我仍然无法确定何时使用访问令牌和何时使用Id令牌。那么，哪一条路最好呢？