Salesforce OpenID连接提供商是否加密然后签署其JWT？

我的团队正在使现有产品成为OpenID Connect RP（依赖方），并使用connect2id。该库支持签名和加密的JWT，但只支持先签名，然后加密的JWT。他们不支持先加密后签名，但我们担心的是，我们需要与之交互的一些操作可能会执行先加密后签名

我们最初的目标是Salesforce和Google。我无法从他们的文档中确定Salesforce和Google在充当OpenID Connect提供商时是先使用sign-then encrypt还是先使用encrypt-then-sign

---

有人能给我指一下为这些OPs记录的页面吗？或者这不是问题，因为没有人使用加密然后签名？谢谢。

如果使用加密，Connect OPs将始终进行签名，然后再进行加密，前提是他们遵守规范。表示“如果ID令牌已加密，则必须先签名，然后再加密”。更详细地说同样的话

太棒了。我完全错过了这个。非常感谢。加密后的签名很危险，因为签名可能会被删除并替换为其他签名。这就是为什么必须先签名，然后加密。如果我不礼貌地建议查看jose4j的JOSE/JWT处理：）JwtConsumer和JwtConsumerBuilder对于OpenID Connect RP角色应该特别有用。一些例子在