标签: jwt openid-connect
当我创建at_hash访问令牌时,哈希是否应该被加盐?如果是,如果客户不知道使用的盐,怎么验证呢?不幸的是,specs并没有多说。{/ p>
at_hash
答案 0 :(得分:3)
不,哈希不应该被腌制。请注意,at_hash将access_token绑定到id_token并保护,因为id_token已签名。 access_token的值与需要盐的密码完全不同,因为它的字符较少且随机性较低。
access_token
id_token