我想知道让JWKS URI由服务提供商(SP模式下的Pingfederate Server)而不是认证OpenId Server托管是一个好主意。我目前有一个静态公共JWK,可通过我自己的客户端Web应用程序托管的URL获得。 JWKS URL及其密钥是公开打开的。
答案 0 :(得分:0)
OAuth服务器应托管用于对其发布的令牌进行签名的密钥(即“薄荷糖”)。 OAuth服务器的密钥必须对客户端(服务提供商)可用,因此它应提供JWKS端点。如果客户端已经具有密钥,则它可以验证从OAuth服务器接收到的令牌,并且本身不需要服务器上的JWKS端点。