Azure LogicアプリのアクセストークンとIDトークンを区別するには、それらの目的と使用法を理解する必要があります。
1。目的と使用法:
- アクセストークン:これらは許可に使用され、特定のリソースまたはAPIへのアクセスが可能になります。それらには、それらのリソースで実行できるアクションを定義する権限とスコープが含まれています。アクセストークンは通常短命で、更新トークン[1] [2] [3]を使用して更新できます。
-IDトークン:これらは認証に使用され、ユーザーの身元に関する情報を提供します。ユーザー名、電子メール、その他の識別の詳細などのクレームが含まれています。 IDトークンは、ユーザーIDを確認するためにクライアントアプリケーション内でよく使用され、リソースアクセスのためにAPIに送信されることを意図していません[1] [2] [5]。
2。検証と消費:
- アクセストークン:これらはAPIによって検証され、ベアラーがリソースにアクセスするために必要なアクセス許可を確保します。データアクセスを容易にするためにAPI間で送信されます[1] [2]。
-IDトークン:これらは、ユーザーIDを確認するためにクライアントアプリケーションによって検証されます。リソースアクセスのためにAPIに送信されるのではなく、クライアントアプリケーション自体で使用されます[1] [5]。
3。発行と更新:
- アクセストークン:承認サーバーによって発行されると、ユーザーの対話を必要とせずにアクセスを拡張するためにトークンを更新して更新できます[1] [2]。
-IDトークン:認証サーバーによって発行されたIDトークンは直接リフレッシュできませんが、アクセストークンが更新されたときに新たに入手できます[3]。
Azure Logic Appsでは、Azure AD B2Cまたはその他の認証システムと統合する場合、通常、アクセストークンを使用してAPI呼び出しとIDトークンを認証して、アプリケーションロジック[4] [6]内でユーザーセッションを管理します。
これらのトークンをロジックアプリで処理するために、通常、HTTPヘッダーまたはペイロードからそれらを抽出して検証し、アクセストークンがAPI呼び出しに使用され、IDトークンがアプリロジック内のユーザー認証に使用されるようにします[6]。
引用:
[1] https://www.descope.com/blog/post/id-token-vs-access-token
[2] https://learn.microsoft.com/en-us/azure/active-directory-b2c/tokens-overview
[3] https://www.youtube.com/watch?v=0k9zj-zqrwm
[4] https://learn.microsoft.com/en-us/azure/logic-apps/authenticate-with-managed-identity
[5] https://oauth.net/id-tokens-vs-access-tokens/
[6] https://docs.azure.cn/en-us/logic-apps/logic-apps-custom-api-authentication
[7] https://auth0.com/blog/id-token-access-token-what-is-difference/
[8] https://community.auth0.com/t/id-token-and-access-token-what-is-difference/70028