Nel flusso OpenId Connect Implict, dopo che il server di autorizzazione ha autenticato l'utente e l'utente ha concesso al client l'accesso alle richieste richieste, un token ID viene restituito al client.
Questo token di identificazione contiene reclami sull'autenticazione di un utente finale da parte di un server di autorizzazione . Queste affermazioni consistono in una serie di richieste richieste, alcune facoltative e "Può contenere altri reclami".
In un secondo momento, il client può consegnare il token di accesso a un'API, che a sua volta può recuperare richieste di informazioni dall'endpoint UserInfo.
Qual è la ragione per cui le attestazioni restituite dall'endpoint UserInfo non vengono restituite direttamente al client dopo che l'utente è stato autorizzato, come parte del token di identificazione? Perché è necessario l'endpoint UserInfo? Se le attestazioni sono state restituite come parte del token Id, non sarebbero necessarie ulteriori richieste.
È perché il token ID potrebbe contenere dati che non si desidera condividere con l'API, ad esempio un token di aggiornamento?