主要观点：在构建 Web 应用时，安全可靠地处理认证至关重要，OpenID Connect (OIDC) 可满足此需求，它是基于 OAuth 2.0 的身份层，能验证用户身份并获取基本信息，责任明确分离。
关键信息：

• OIDC 引入 ID 令牌（JWT），填补 OAuth 2.0 未认证用户的空白，标准化登录、注销和用户信息检索等。
• 授权码流（带 PKCE）是多数 Web 和单页应用的首选，包含多个步骤，如重定向到授权端点、用户登录、交换代码获取令牌等。
• JWT 可使用多种库解码，如 Python 的 PyJWT，需验证令牌签名、受众和过期时间等。
• 在 FastAPI 中实现 OIDC 认证，通过获取身份提供者的配置和签名密钥来验证令牌，实现安全的路由。
  重要细节：
• 前端重定向用户到身份提供者时需包含客户端 ID、回调 URL 等参数，且范围参数需包含openid。
• 后端发送 POST 请求到令牌端点交换代码获取令牌，响应包含访问令牌和 ID 令牌及过期时间等信息。
• 解码 JWT 时需获取身份提供者的公共签名密钥，可通过调用 JWKS 端点获取，decode()方法可验证令牌有效性，开发时可设置options={"verify_signature": False}。
• FastAPI 实现中，通过HTTPBearer提取令牌，get_signing_key获取签名密钥，verify_token验证令牌，实现安全路由和令牌交换端点。
• 可轻松将角色和范围等概念纳入代码实现基于角色的访问控制，且仅聚焦后端 FastAPI 实现，前端实现留给读者。

总结：文章详细介绍了 OIDC 的原理、流程及在 FastAPI 中的实现，强调其安全、高效、可扩展的特点，减轻应用和开发者的负担。