尽管Thinktecture.IdentityServer支持使用对称密钥对jwt进行签名,但OidcClient类不支持使用对象验证令牌 - 它仅支持使用证书签名的验证令牌。 这是故意的,并且在与客户秘密签署jwt时是否存在问题或任何限制? 我要求客户端应用程序获得证书,如果我可以在不损害安全性的情况下避免使用证书,我希望这样做。
答案 0 :(得分:0)
IIRC OidcClient已经很老了 - 我们只是没有实现它。而且,您的应用不需要证书,他们只需要能够使用非对称加密来验证签名。
使用对称密钥仅对基于服务器的应用程序有意义,因为该密钥必须安全存储(否则任何反向工程师应用程序的人都可以创建有效的身份标记)。
另一种选择是将id令牌发送回idsrv进行验证(对于没有所需加密库的客户端)。此端点目前不存在于测试版1中 - 但在我们的待办事项列表中。