主题标识符和ID令牌/ Userinfo端点/自省端点

Question

根据OpenId Connect规范，ID令牌或Userinfo端点中返回的主题标识符可以是public or pairwise。 如果它是成对主题标识符，则使用重定向Uri或扇区标识符Uri计算它。

我的问题是：

1. 由于Userinfo request中没有重定向uri，如何计算成对主题标识符？这是否意味着访问令牌必须包含重定向Uri（或公共和成对主题标识符）？
2. 客户端和资源服务器可以调用introspection endpoint。在Introspection Response中，资源服务器应该获取公共主题标识符，而客户端正在等待成对标识符。如何实现。与上一个问题一样，它是否意味着访问令牌必须包含其他信息以根据谁调用端点来计算主题标识符？

提前致谢。

Answer 1

首先，客户端配置为公共或成对ID，但不能同时配置（这可能会破坏首先使用成对ID的额外隐私目的。因此任何端点的调用者（无论是UserInfo）或内省）永远不会看到他们混合。

提供商如何将访问令牌映射到主题？

对于经典的不透明访问令牌（即随机字符串），提供者只是将访问令牌中的查找表保存到主题（成对或不成对，无关紧要）。

对于结构化（例如JWT）访问令牌，它可能确实从（已验证的）令牌本身查找主题。但是在这种情况下，从来没有必要从公共科目成对计算（甚至不可能反过来），因为正确的主题总是在令牌中。