OpenId接続のOauth2

Question

私は枯れているので、今日あなたにお尋ねします。私はOauth2のロジックに欠けており、OpenIDはapigeeで接続しています。

私はアプリケーションリクエストOpenidがログインしているユーザーのプロフィールを持つように接続し、アプリケーションがアクセストークンを介して保護されたリソースにアクセスする方法をOAuth2が提供することを理解します。

ここでは、保護されたリソースが、ログインしたユーザーが認証トークンを取得したことを確認する必要があるシナリオを考えます。ここで行ったこのイラストはいいですか、私の理解から

Answer 1

は、the introspection endpointあなたが見逃しているものです。

このエンドポイントは、リソースサーバー用に設計されています。これにより、クライアントが使用するアクセストークンに関する詳細を取得できます。アクセストークンが有効な場合は、リソース所有者（つまり、ユースケースのユーザー）を表すクレーム、特にsubのクレームを受け取ります。