El protocolo OpenID Connect define distintos flujos de autenticación, de los cuales AUTENTICAR utiliza dos:

• Flujo estándar o de código de autorización (Standard Flow o Authorization Code Flow): Es el flujo más utilizado, ya que le permite al IDP autenticar tanto al usuario como al cliente.

  Este flujo se lleva a cabo de la siguiente manera:

1. La RP envía un pedido de autenticación al proveedor de autenticación.

2. El proveedor de autenticación autentica a la RP mediante el ID y el secret compartidos. Si las credenciales no son válidas, rechaza el pedido.

3. Si las credenciales del cliente son válidas, autentica al usuario y pide su autorización, según el pedido de la RP.

4. Una vez que el usuario se autentica, el proveedor de autenticación envía un ID token a la RP, con datos (claims) acerca del usuario. También puede enviar un token de acceso.

5. Con el token de acceso, la RP puede usar el endpoint UserInfo de OpenID Connect para obtener claims adicionales acerca del usuario. Solamente puede pedir los datos que el usuario haya permitido ver a la RP.

• Flujo implícito (Implicit Flow): Este flujo se utiliza en aplicaciones client-side, donde no se puede guardar un secret en forma segura.