Oauth 2.0 主题标识符和ID令牌/用户信息端点/内省端点_Oauth 2.0_Openid Connect

Oauth 2.0 主题标识符和ID令牌/用户信息端点/内省端点

oauth-2.0

Oauth 2.0 主题标识符和ID令牌/用户信息端点/内省端点,oauth-2.0,openid-connect,Oauth 2.0,Openid Connect,根据OpenId Connect规范，ID令牌中返回的或从Userinfo端点返回的主题标识符可能为。如果是成对的主题标识符，则使用重定向Uri或扇区标识符Uri计算我的问题是：由于中没有重定向uri，如何计算成对主题标识符？这是否意味着访问令牌必须包含重定向Uri（或公共和成对主题标识符）客户端和资源服务器可以调用。在中，资源服务器应该获得公共主题标识符，而客户端则在等待成对的标识符。如何实现这一目标。与前面的问题一样，这是否意味着访问令牌必须包含额外的信息，才能根据调用端点的用户来计

根据OpenId Connect规范，ID令牌中返回的或从Userinfo端点返回的主题标识符可能为。如果是成对的主题标识符，则使用重定向Uri或扇区标识符Uri计算

我的问题是：

由于中没有重定向uri，如何计算成对主题标识符？这是否意味着访问令牌必须包含重定向Uri（或公共和成对主题标识符）

客户端和资源服务器可以调用。在中，资源服务器应该获得公共主题标识符，而客户端则在等待成对的标识符。如何实现这一目标。与前面的问题一样，这是否意味着访问令牌必须包含额外的信息，才能根据调用端点的用户来计算主题标识符

提前感谢。

首先，客户机要么配置为公共ID，要么配置为成对ID，但不能同时配置两者（这可能会首先破坏使用成对ID的额外隐私目的。因此，任何端点的调用方（无论是UserInfo还是introspection）都不会看到它们混合在一起

提供者如何将访问令牌映射到主题

对于经典的不透明访问令牌（即随机字符串），提供者只需保留一个从访问令牌到主题的查找表（成对与否，无关紧要）

对于结构化（如JWT）访问令牌，它实际上可能从（已验证）令牌本身查找主题。但在这种情况下，也不需要从公共主题计算成对（甚至不可能反向），因为正确的主题始终在令牌中。

首先，客户机要么配置为公共ID，要么配置为成对ID，但不能同时配置两者（这可能会首先破坏使用成对ID的额外隐私目的。因此，任何端点的调用方（无论是UserInfo还是introspection）都不会看到它们混合

提供者如何将访问令牌映射到主题

对于经典的不透明访问令牌（即随机字符串），提供者只需保留一个从访问令牌到主题的查找表（成对与否，无关紧要）

对于结构化（如JWT）访问令牌，它实际上可能从（已验证）令牌本身查找主题。但在这种情况下，也不需要从公共主题计算成对（甚至不可能反向），因为正确的主题总是在令牌中。

谢谢。我同意你的看法。由于Id令牌和Userinfo端点专用于客户端进行身份验证，因此为公共或成对Id提供服务没有问题（取决于客户端配置）。但是关于内省端点，我认为除非资源服务器正在发送请求，否则不应包含此项（在本例中，仅应包含公共ID）。谢谢。我同意您的看法。由于ID令牌和Userinfo端点专用于客户端进行身份验证，因此为公共ID或成对ID提供服务没有问题（取决于客户端配置）但是关于内省端点，我认为不应该包括“sub”，除非资源服务器正在发送请求（在这种情况下，只应该包括公共ID）。