OpenId标准具有发现URL,该URL公开了如何获取,撤消令牌,JWKS URL等。JWKSURL拥有用于加密和解密令牌的密钥。
我试图隐藏此URL,但我的oidc中间件将无法工作,这将在前端应用程序中创建登录错误。
我不明白为什么OpenId会以这种方式工作?为什么我们不能隐藏JWKS?在实际情况下该工具如何执行?故意公开JWKS网址供人们破解令牌吗?
答案 0 :(得分:4)
JWKS url仅公开公钥,以便资源服务器可以使用非对称加密来验证令牌确实已由预期的权威机构签名和发行。
答案 1 :(得分:3)
JWK的URI并不完全“持有用于加密和解密令牌的密钥”。它提供了提供者用来签名它产生/发送并(可能)解密的令牌的公用/专用密钥对中的公用密钥。 strong>它消费/接收的所有邮件。
由于这是公钥,所以隐藏或保护为其提供服务的端点没有任何意义。它不代表私人或敏感信息。请注意,永远不会共享或发布相应的私钥。
FWIW:其他答案和评论似乎将加密和签名混在一起...