它是一种安全架构, 它可以告诉你用户是他们所声明的身份, 通常呢, 是通过提供一套安全凭据(例如用户名和密码)给应用程序来证明这一点....而OAuth2则不管用户这些东西, OAuth2的客户端应用只考虑请求token, 得到token, 使用token访问API....所以, 无论客户端是如何得到的access token, 它都无法从access token里得到最终用户的信息以及最终用户的身份认证状态....依赖方现在可以使用Access Token发送请求到用户信息的端点.
5. 用户信息端点返回用户的声明(claims, 相当于是用户的信息)....在Implicit流程里, 所有的tokens都来自于授权端点, 而Token端点并没有用到.
该流程主要用于浏览器内的应用, Access Token和ID Token一同被直接返回给客户端.