有谁知道我将如何配置OpenIDDict,以便只有机密客户端(具有客户端ID和客户端密码)才能解密Jwt id_token以在发出令牌请求后查看内部声明?似乎没有人能够使用无加密的默认设置查看Jwt内的信息。另一方面,如果它与服务器密钥签名,那么客户端必须具有服务器机密才能解密它,这似乎也不正确。
似乎Jwt id_token应该由服务器使用来自机密客户端的任何令牌请求所需的客户端密钥进行加密。这样,只有客户端可以解码id_token以查看内部声明,而无需知道服务器机密。
我是否正确地考虑过这个问题?可以用某种方式在OpenIDDict中配置吗?
答案 0 :(得分:0)
有没有人知道如何配置OpenIDDict,以便只有机密客户端(具有客户端ID和客户端密码)才能解密Jwt id_token,以便在发出令牌请求后查看内部声明?
目前不支持......而且几乎没有要求。
为什么呢?因为对于使用令牌端点的流不是特别有用的安全措施,因为您已经应该在传输层使用加密(即TLS),因此始终使用秘密信道检索身份令牌。