这个identity token就可以被用来登录客户端应用程序, 而这个客户端应用还可以使用access token来访问API资源....尽管现在我们经常说我们在使用OAuth2来保护API, 其实更准确的说, 大多数情况下, 我们使用的是OpenID Connect....客户端(Client)应用就是代表资源所有者访问被保护资源的一个软件. 注意它既不是指浏览器, 也不是指给你钱让你开发软件的人. 在OAuth2里面, 它是指被保护的API资源的消费者....授权服务器(AS)是被受保护的资源所信任的, 它可以发行具有特定目的的安全凭据给客户端应用, 这个凭据叫做OAuth的 access token....之所以叫这种授权类型implicit, 是因为流程里并没有发行任何中间凭据.
在implicit流程里发行access token的时候, 授权服务器并没有对客户端应用进行身份认证.