OpenID Connectを使用したSSOの実装とトークンの使用

Question

シナリオ - OpenID接続を使用して認証する必要のあるレガシーアプリケーション。私たちはIPとしてkeycloakを使用しています。

私は本当に、複数のアプリケーションのための単一の認証メカニズムが必要です。認証後、私はまた、'user-id'情報（クレーム）が必要です。

私はaccess_token（スコープopenid）を持っています。 「user-id」情報にアクセスするにはid_tokenも必要ですか？または私は「access_tokenをデコードする必要がありますか？

Answer 1

のみ、そのトークンは、ユーザがにしてトークンが実際にあなたのアプリケーションのために発行していなかったかどうかに署名したところ、ユーザがいること、で署名されている方を説明しますので、あなたが本当にid_tokenを必要とします

access_tokenには意味がありません：それはあなた自身に何も言わずに、保護されたリソースにアクセスするために使用できます。また、アクセストークンはman-in-the-middleによって入れ替えることができます。