OpenID Connectのハイブリッドフローで、access_tokenをリクエストできる場合、 'code'パラメータの目的は何ですか？

Question

私はOpenID ConnectとOAuth 2の認証コードフローについて理解しているので、承認エンドポイントから依拠当事者に返されるコードパラメータは、引き続きaccess_tokenの要求で交換されることになっています。ただし、ハイブリッド・フローでは、コード、access_token、およびid_tokenをauthorizeエンドポイントから戻すように要求できます。だから、もしあなたがすでにaccess_tokenを持っているなら、なぜcodeパラメータが必要なのでしょうか？

Answer 1

私は両方の認可エンドポイントクライアントはトークンエンドポイントに認証することができることと関係することではなく、少なくとも二つの理由を考えることができます：あなたは通常のみ受信することができるようになります

• 承認エンドポイントではなく、トークンエンドポイントからのrefresh_tokenしたがって、必要があれば、まずコードを交換します。
• プロバイダは、認可エンドポイントから返されたIDトークンの最小または最小のクレームセットを返すように選択するか、またはトークンエンドポイントまたはUserInfoエンドポイントを介してIDトークンの詳細情報を返すように選択できます。私は、認可エンドポイントから機密性の高い要求を直接送信することをお勧めしないと思います。