nobject

所以这种小件是有相关的旗舰店还是啥，怎么筛选靠谱的店？ 去年疫情放开，在 pdd 上买了温度计，结果温度计都上不了 36 度...坑得很

如果要使用 markdown ，把 confluence 给排除了，那个 markdown 插件很难用，而且样式很难看

@xiaomada 嗯，好的，非常感谢，我去体验一下你上面说的一些 idaas 产品，加深一下相关概念的理解。

@xiaomada id_token 按你的说法，只用于解析出来 userId ，如果子系统 user 表不存在，则写入到 user 表，然后子系统自己想怎么处理系统会话，它自行处理，其实这时候已经与 id_token 就无关了？ 还有 id_token 与 access_token 的区别在于本身包含了用户的一些信息，但 access_token 如果需要获取用户信息的话，还需要通过 userinfo endpoint 去获取一次，如果本身不介意再去获取一次的话，其实可能就不需要 id_token 了？我这样理解对么？

@xiaomada 谢谢，不同域名下的实现方式对我很有帮助。对于单点登录与登出，oidc 的 core 协议里确实没有，但有几个补充协议，好像通过前端通道实现的方式和你下面说的不在同一个域名下的实现方式很类似，就是需要 iframe 去做辅助同步通知到其他域。

基于 oidc 协议的，最后返回的 id_token ，我在想，如果使用传统的 cookie + session 的方式，那他协议返回的 id_token 到底怎么使用呢？看了一些开源的基于 oidc 协议作身份认证的产品，在应用的实现范例大多数是怎么通过授权码去获取到 id_token 这些，就点到为止了

@xiaomada 我们的目标是所有的都会接入到这个账号体系中，包括 gitlab 之后也会接入，但首先是要满足我们整个云平台下的各自子系统的登录，所以最后选择了比较统一的 oidc 协议。

@FuryBean 嗯，这么说流程还是蛮清晰的。但其实我纠结的点在哪呢，就是明明使用 oidc 了，那边也返回 id_token 了，但是这个 id_token 的正确使用指南我 get 不到，你像你说的这个流程，感觉更像是传统的 sso 解决方案，用不用 oidc 其实没啥差别，我请求 oidc.com ，只要告诉应用认证成功和用户信息就 ok 了，应用的 session 自己维护，也不需要和 id_token 有任何关联

@tool2d 开放给第三方应用的确实得传 access_token ，但我现在的应用场景是单点登录，我们一个大平台，里面可能有各个子系统，这些系统其实都不算是第三方的应用，理论上是属于我们公司自己的产品，oidc 这边其实就是要做一个统一认证平台，在 api 的授权访问这块，其实有 rbac 的鉴权模块统一处理的。从需求方面，我觉得我们可能用的是 id_token, 不是 access_token

@tool2d 谢谢，看这图明白了点，id token 是用于认证，access token 是用于 api 访问权限判断。那我请求一个 api ，如果后端去解析 id token 的 jwt ，那前端不是得把 id token 与 access token 一并传给后端？