0
私は、ネイティブアプリケーションがリクエストを行うために必要なWeb APIを持っていると言います。このAPIは、ネイティブアプリを介してこれらのリクエストを行っているユーザーを認証する必要があります。 OpenID ConnectはOAuthによる認証ではなく認証に関するものであるため、正しい選択と思われます。OpenID Connect - この場合、idトークンを保護されたリソースに送信する必要がありますか?
ネイティブアプリは、ユーザーの資格情報をIDPに送信し、アクセストークン(認証用)とIDトークン(認証用)を戻します。 OIDCの理解から、アクセストークンはAPIに送信されますが、IDトークンはネイティブクライアントアプリケーションのみに送信されます。それはネイティブアプリではなく、ユーザーが誰かを気にするAPIなので、私にとって意味をなさない。
なぜ、idトークンも保護されたリソース(別名API)に渡されないのですか? IDトークンをAPIに渡さないと、アクセストークンが安全で、ユーザーの認証に使用できることを保証するものは何ですか?それ以外の場合は、OAuthをOAuth経由で使用する利点が失われているように見えます。