Хотя я работал с OAuth 2 раньше, я новичок в Open ID Connect.
Чтение учебников и документации Я столкнулся с access_token и id_token, где access_token - это случайная уникальная строка, сгенерированная в соответствии с OAuth 2 и id_token - это JSON Web Token, который содержит информацию, такую как идентификатор пользователя, алгоритм, эмитент и другую информацию, которая может быть использована для его проверки. Я также видел поставщиков API, которые предоставляют как access_token, так и id_token, и насколько я знаю, это для обратной совместимости.
Мой вопрос в том, что можно использовать как access_token, так и id_token для доступа к защищенным ресурсам? Или id_token только для целей проверки, а access_token используется для доступа к защищенным ресурсам?