Openid Connect:在依赖方之间共享ID令牌

时间:2019-03-06 14:34:49

标签: oauth-2.0 openid access-token openid-connect

假设我们有3个依赖方和1个OpenID提供程序(=身份提供程序)。如果用户要登录第一个应用程序,则将其重定向到身份提供者(通过授权代码流),并且第一个应用程序将在流末尾具有一个ID令牌和访问令牌。

如果用户10分钟后要登录第二个依赖方,则他将自动重定向到IDP(通过授权代码流),并且IDP将通过cookie识别用户。因此,IDP不会要求用户进行身份验证,并且在流程结束时,第二个依赖方将拥有一个ID令牌和访问令牌。

我的问题:您能否确认第二个依赖方的ID令牌和访问令牌与第一个依赖方的ID令牌和访问令牌不同?

1 个答案:

答案 0 :(得分:1)

是的,它们应该不同。

在ID令牌中,aud声明应包含该令牌打算用于的依赖方应用。

在访问令牌中,通常会有类似client_id的声明,因此依赖方可以识别此令牌的发布对象,尽管这不能保证。

有关OpenID Connect JWT令牌的详细信息,请参见JWT spec