Jwt oidc id令牌的正确颁发者是什么_Jwt_Openid Connect_Claims_Service Provider_Openiddict

Jwt oidc id令牌的正确颁发者是什么

jwt

Jwt oidc id令牌的正确颁发者是什么,jwt,openid-connect,claims,service-provider,openiddict,Jwt,Openid Connect,Claims,Service Provider,Openiddict,实施oidc微服务的合适发行人是什么？该服务将为不同领域的多个客户提供授权说明书上说：必需的。响应的颁发者的颁发者标识符。国际空间站值是使用https方案的区分大小写的URL，该方案包含方案、主机和可选端口号和路径组件以及查询或片段组件它没有说明此标识符是否必须与请求域匹配，甚至根本不是真正的url。使其成为仅标识此服务的静态url将使其他一些微服务中的验证更容易将其设置为静态url是否会以任何方式破坏规范，或者存在任何其他可能不会立即显现的陷阱？指出：发行人必需的。使用无查询

实施oidc微服务的合适发行人是什么？该服务将为不同领域的多个客户提供授权

说明书上说：

必需的。响应的颁发者的颁发者标识符。国际空间站值是使用https方案的区分大小写的URL，该方案包含方案、主机和可选端口号和路径组件以及查询或片段组件

它没有说明此标识符是否必须与请求域匹配，甚至根本不是真正的url。使其成为仅标识此服务的静态url将使其他一些微服务中的验证更容易

将其设置为静态url是否会以任何方式破坏规范，或者存在任何其他可能不会立即显现的陷阱？

指出：

发行人

必需的。使用无查询或片段的https方案的URL OP断言为其颁发者标识符的组件。如果发行人支持查找（请参见第2节），此值必须相同指向WebFinger返回的issuer值。这也必须是相同的此颁发者颁发的ID令牌中的iss索赔值

“包含勘误表集1的OpenID Connect Core 1.0”规范规定：

OpenID Connect支持多个每个主机和端口组合的发卡机构。发行人通过发现必须与ID令牌中的iss值完全匹配

OpenID Connect将任何颁发者URI的路径组件视为发行人标识符的一部分。例如，主题“1234”带有 “”的颁发者标识符与主题“1234”，发行人标识符为 “”

建议每个主机只使用一个颁发者。然而，如果主机支持多个租户，则该主机有多个颁发者可能需要

没有理由期望客户端（发出授权请求）和授权服务器位于同一DNS域中。或希望客户端与资源服务器位于同一个NDS域中

规范没有定义这些关系，因此任何关系都必须使用其他Internet规范来完成。我所知道的唯一一个是证书“信任”关系

请务必阅读

谢谢您的回答。我已经阅读了这些文档，我的解释是发卡机构应该匹配调用授权/令牌的主机。我收到了该公司其他部门的一些回击，他们说跨多个主机使用单个颁发者将更容易验证令牌。我相信这会破坏规范，不建议这样做，但我一直很难在规范中找到一个简单的句子来说明这一点。