Jwt OpenID连接和聚合/分布式声明
我对来自该公司的汇总和分配索赔有疑问 据我所知,这些声明来自不同的(外部)来源,根据规范及其示例,它包含在包含声明值的JWT中。我知道这个JWT在被聚合到ID令牌之前是由源代码签名的 关于合计索赔:Jwt OpenID连接和聚合/分布式声明,jwt,openid-connect,Jwt,Openid Connect,我对来自该公司的汇总和分配索赔有疑问 据我所知,这些声明来自不同的(外部)来源,根据规范及其示例,它包含在包含声明值的JWT中。我知道这个JWT在被聚合到ID令牌之前是由源代码签名的 关于合计索赔: RP如何检索公钥并验证来源发布的JWT签名 ID令牌不应使用JWS或JWE x5u、x5c、jku或jwk头参数字段。。在这种特殊情况下,是否允许在JWT标头中包含此标头之一 分布式声明实际上只是一个链接,还可以选择作为检索声明的访问令牌 是否有任何理由只允许持票人代币?为什么我们不能使用其他
- RP如何检索公钥并验证来源发布的JWT签名
。在这种特殊情况下,是否允许在JWT标头中包含此标头之一ID令牌不应使用JWS或JWE x5u、x5c、jku或jwk头参数字段。
- 是否有任何理由只允许持票人代币?为什么我们不能使用其他令牌类型,如MAC或POP令牌
假设外部来源只是其他OIDC提供商,他们的公钥可以通过-参见第4.2节,参数“jwks_uri”获得。我认为当前的分布式索赔规范没有完全解决索赔发行人的密钥发现问题。它假设一个安全/信任假设,即依赖方以前知道分布式索赔提供程序(即封闭联合模型)。嗨,问题是RP不知道发布聚合JWT的OIDC提供程序。是的,规范没有说明如何信任密钥。如果您检查要验证的消息(即JWT)以查找用于验证它的密钥(jwks_uri),则签名不提供安全值。