Faccio fatica a capire perché non abbiamo solo un singolo token che serve a entrambi gli scopi: autorizzazione e autenticazione?
In un certo senso, il token di accesso fa molto più che una semplice autorizzazione. Fornisce anche l'id utente (nella sottovoce) e dopo la verifica, l'API (pubblico del token) conosce entrambi: chi sei e cosa ti è permesso fare.
Il token ID, d'altra parte, è pensato per il cliente, ma in caso di una SPA, non vedo assolutamente alcun punto in esso. Una SPA recupera entrambi token ID token e utilizza il token di accesso per comunicare con un'API.
Alcune domande: - È puramente per ragioni storiche, che siamo bloccati con due token separati? - Quando ho veramente bisogno del token ID? Cosa fa una SPA con questo?