Diciamo che sto sviluppando un'applicazione basata su client per android / ios o un'applicazione javascript per qualsiasi browser.
Per identificare un utente, userò OpenIdConnect con il flusso implicito. L'IDP fornirà id_token e access_token come richiesto. Le chiamate all'API utilizzata verranno protette tramite JWTBearer-Token inviando il access_token all'API.
Il frontend eseguirà alcune operazioni di sicurezza tramite id_token, ma niente di particolare.
Ora mi sto chiedendo ..
Perché dovrei preoccuparmi di caricare il materiale chiave dall'IDP e controllare se l'id_token è valido?
Quali sono i casi d'uso per le applicazioni native (e js), che lo rendono necessario o utile per verificare la validità di id_token?