Embora eu tenha trabalhado com o OAuth 2 antes, sou novato no Open ID Connect.

Lendo os tutoriais e documentações eu encontrei tantoaccess_token eid_token Ondeaccess_token é a string única aleatória gerada de acordo com o OAuth 2 eid_token é JSON Web Token que contém informações como o id do usuário, algoritmo, emissor e várias outras informações que podem ser usadas para validá-lo. Eu também vi provedores de APIs que fornecem o access_token e o id_token e, até onde eu sei, é para compatibilidade com versões anteriores.

Minha pergunta é queé possível usar o access_token e o id_token para acessar os recursos protegidos ? Ou é o id_token apenas para fins de verificação e access_token é usado para obter acesso a recursos protegidos?