ID token

Токен показывает, что пользователь проходил авторизацию. С помощью ID token можно получить публичные маскированные данные пользователя: первую букву фамилии, имя, идентификатор пользователя, фото, маскированные номер телефона и почту. ID token является JWT-токеном.

JSON Web Token или JWT — это открытый стандарт для создания токенов доступа, который основан на формате JSON.Токены создаются сервером VK ID, подписываются секретным ключом и передаются клиенту. Он использует токен для подтверждения своей личности перед своим сервером.

Есть два способа получения ID token по Authorization Code Flow:

(рекомендуемый) когда обмен авторизационного кода на токен происходит с бэкенда приложения. Это более безопасный способ;
когда обмен авторизационного кода на токен происходит с фронтенда приложения. Этот способ возможен, если у вашего приложения нет бэкенда.

Обязательно используйте расширение PKCE для защиты передаваемых данных. Основной целью JSON Web Token является создание подписанного сообщения, с помощью которого пользователь обращается к сервису для доступа к ресурсам. После обработки запроса пользователь получает JWT, который закодирован в base64 и подписан. Пример подписанного сообщения eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... Чтобы извлечь информацию из JWT токена, используйте специальную библиотеку. Для проверки достоверности токена используйте публичный ключ VK. Пример декодированного сообщения

payload: {
    'iis': 'VK',
    'sub': 000000000,
    'app': 51812311,
    'exp': 1618310760,
    'iat': 1709018605,
    'jti': 21
}

JWT содержит набор стандартных полей:

Поле	Описание
iis	Хост, который выдал этот токен, — VK
sub	user_id, идентификатор пользователя
app	client_id, идентификатор приложения
exp	Срок действия токена
iat	Время выдачи JWT
jti	Тип токена. Должен иметь значение 21

Чтобы с ID token получить маскированные данные пользователя, воспользуйтесь методом SDK VKID.Auth.publicInfo(id_token).

Валидация токена

Чтобы провалидировать ID token, используйте публичный ключ.