根据文档:OIDC 与 OAuth2.0 综述:OIDC 与 OAuth2.0 综述 | Authing 文档
里面写了:调用方请求获取 Access Token,经过用户授权后,Authing 为其颁发 Access Token。调用方可以携带 Access Token 到资源服务器访问用户的资源。
但是下一篇文档:OIDC 常见问题:OIDC 常见问题 | Authing 文档
里面又说IdToken相当于用户的身份证,开发者的前端访问后端接口时应当携带IdToken
而且根据https://docs.authing.cn/v2/concepts/access-token-vs-id-token.html
也是应该使用AccessToken访问后端服务器啊。
而且,如果应该使用AccessToken访问后端服务器,那为什么AccessToken中“不包含除 id 之外的任何用户信息。包含 scope 权限项目,用于调用受保护的 API 接口。”
roles这种信息难道不应该放到AccessToken吗?