Per distinguere tra token di accesso e token ID nelle app di logica di Azure, è necessario comprendere i loro scopi e l'uso:
1. Scopo e utilizzo:
- token di accesso: questi vengono utilizzati per l'autorizzazione, consentendo l'accesso a risorse o API specifiche. Contengono autorizzazioni e ammissioni che definiscono quali azioni possono essere eseguite su tali risorse. I token di accesso sono in genere di breve durata e possono essere aggiornati usando token di aggiornamento [1] [2] [3].
- token ID: questi vengono utilizzati per l'autenticazione, fornendo informazioni sull'identità dell'utente. Contengono reclami come nome utente, e -mail e altri dettagli identificativi. I token ID vengono spesso utilizzati all'interno delle applicazioni client per verificare l'identità dell'utente e non sono pensati per essere inviati alle API per l'accesso alle risorse [1] [2] [5].
2. Convalida e consumo:
- Token di accesso: questi sono validati dalle API per garantire che il portatore abbia le autorizzazioni necessarie per accedere alle risorse. Vengono inviati tra le API per facilitare l'accesso ai dati [1] [2].
- token ID: questi sono validati dalle applicazioni client per confermare l'identità dell'utente. Non vengono inviati alle API per l'accesso alle risorse ma vengono utilizzati all'interno dell'applicazione client stessa [1] [5].
3. Emissione e aggiornamento:
- Token di accesso: emesso da un server di autorizzazione, possono essere aggiornati utilizzando token di aggiornamento per estendere l'accesso senza richiedere l'interazione dell'utente [1] [2].
- token ID: anche emessi da un server di autorizzazione, i token ID non sono direttamente aggiornabili ma possono essere ottenuti di nuovo quando viene aggiornato un token di accesso [3].
Nelle app di Azure Logic, quando si integra con Azure AD B2C o altri sistemi di autenticazione, in genere si utilizzerebbero i token di accesso per autenticare le chiamate API e i token ID per gestire le sessioni utente all'interno della logica dell'applicazione [4] [6].
Per gestire questi token nelle app logiche, in genere si estrarre e li convaliderebbero dalle intestazioni o dai payload HTTP, garantendo che i token di accesso vengano utilizzati per le chiamate API e che i token ID vengano utilizzati per l'autenticazione dell'utente all'interno della logica dell'app [6].
Citazioni:
[1] https://www.descope.com/blog/post/id-token-vs-access-token
[2] https://learn.microsoft.com/en-us/azure/active-drectory-b2c/tokens-overview
[3] https://www.youtube.com/watch?v=0k9zj-zqrwm
[4] https://learn.microsoft.com/en-us/azure/logic-apps/authenicat-with-managed-identità
[5] https://oauth.net/id-tokens-vs-access-tokens/
[6] https://docs.azure.cn/en-us/logic-apps/logic-apps-custom-api-authentication
[7] https://auth0.com/blog/id-token-access-token-what-is-the-difference/
[8] https://community.auth0.com/t/id-token-and-access-token-what-is-the-difforce/70028