我对OpenID Connect Core Specification的汇总和分发声明有疑问。
据我了解,这些声明来自不同(外部)来源,根据规范及其示例,它包含一个包含声明值的JWT。我知道这个JWT之前已被源签名,要汇总到ID令牌。
关于汇总索赔:
ID Tokens SHOULD NOT use the JWS or JWE x5u, x5c, jku, or jwk Header Parameter fields.。在这种特殊情况下,允许其中一个标题包含在JWT标题中是否相关?分布式声明实际上只是一个链接,可选择一个访问令牌来检索声明。
答案 0 :(得分:0)
RP如何检索公钥并验证源发出的JWT的签名?
假设外部来源只是其他OIDC提供商,他们的公钥可以通过OIDC Discovery获得 - 参见4.2节,参数" jwks_uri"。
答案 1 :(得分:0)
我认为,当前的分布式索赔规范并未完全解决索赔颁发者的密钥发现问题。它假设安全/信任假设是依赖方先前已知分布式索赔提供者(即封闭联盟模型)。