我想分享这种情况,并可能收集其他建议。
在IS4帮助企业采用标准的环境中,抛弃了自定义的传统方法。 而且某些旧版应用程序用户名仍指向PII(SSN ish)。
只要我们必须支持这些用户名,我们就考虑覆盖JWT-sub声明值,以使该PII脱离身份和访问令牌。 因此,我们将使用其他一些ID或此类值的插入表示来覆盖它。 我们还建议,只要有一方需要访问userinfo端点和其他PII,都应该使用userinfo端点-userinfo传输是安全的,因此对返回的json本身进行加密可能没有明显的好处。
必须要进行覆盖才很愚蠢,但是我想我们有充分的理由吗?