id_tokenの使い方について

• そもそもid_tokenid_tokenとは何か？

OpenID Connect(以降OIDC)フローに従って得られた「認証の結果」を表すトークン文字列。
つまり、id_tokenが得られたという事は、認証が得られたという事である。(はず...)
しかし、この認証を行ったIdP(認証サーバー)が、本当に正当なものであるかが分からない。
そこで、id_tokenの署名検証を行い、正しいIdP(認証サーバー)が認証を行ったものであると判断する。
id_tokenがJWT形式の場合、中身は署名した鍵情報やアルゴリズムを入れたHeaderと、id_tokenの発行者(iss≒認証サーバー)や、client_idなどのClaim、Header+ClaimのBase64エンコード値のSignature(署名）が入っている。

• アクセストークンとは？

アクセスを制限する為のトークン。このトークンの中に何をすることができるかが記載されている。
(利用できるサービスのScope)
認可サーバー(認証サーバーと同じサーバーである事がほとんど？)へアクセストークン要求を行い、アクセストークンを発行してもらう必要がある。
このアクセストークンを付与して、利用したいサービス(SP)へリクエストする。
SPはアクセストークンを検証して(または認可サーバーに検証依頼)、リクエストを受け付けるか判断する。

• アクセストークンの要求について

そもそもアクセストークンの要求は、IdpとSP間で事前に登録した静的な情報を元に作成するので、id_tokenは関係ない。
(リクエストに使用するCredentialにJWTを使う場合、署名にJWKsを使うと鍵ローテーションされる可能性もあるので、静的と言っていいかわからないが、少なくとも事前登録した値の組み合わせからリクエスト用のパラメータを作ることに変わりはない)