マイクロサービスのセットアップで複数の異なる API サービスに接続する複数のクライアント アプリケーションがあります。ユーザー認証に OIDC を使用し、次にクライアント アプリの OAuth2 アクセス トークンを使用して API サービス (リソース サーバー) を承認します。
必要なスコープを持つアクセス トークンがあれば、多くの異なるアプリが同じ API を呼び出すことができます。API サーバーは、アクセス トークンにクレームが存在するかどうかのみをチェックして、呼び出しを許可します。
API サービスの 1 つ (たとえば、チケット予約アプリ) は、アプリ固有の検証を行ったり、請求などのためにログを記録したりするために、発信者を知る必要があります。
Access Token だけで発信者を特定するにはどうすればよいJWTでしょうか? OIDC はazp、承認された当事者が の誰であったかを伝える手段として言及していますがIdentity Token、 に対して定義された同等のものはありませんAccess Token。誰にもアイデアはありますか?