访问令牌刷新后,是否可以使用 id 令牌 at_hash 验证访问令牌和 id 令牌对?

时间:2021-02-13 15:47:04

标签: openid-connect openid access-token refresh-token

在我仅使用一个 OIDC 提供程序 (WSO2) 进行的非常有限的测试中,访问令牌验证方法(在此处的规范中:https://openid.net/specs/openid-connect-core-1_0.html#ImplicitTokenValidation)仍然适用于从刷新端点返回的访问令牌和返回的 id 令牌从令牌端点。我在规范中找不到任何提及这一点的保证。

此外,如果这确实有效,有谁知道在刷新访问令牌后,访问令牌最左侧的散列如何仍然与 at_hash 匹配。我的意思是,用于创建刷新的访问令牌以保持与 id 令牌的兼容性的机制是什么?

1 个答案:

答案 0 :(得分:1)

ID 令牌的生命周期很短,在某些系统中为 5 分钟,其主要目的只是创建本地用户会话。之后,ID-token 被丢弃。

所以我猜 ID-token 中的哈希值只是用来验证初始访问令牌。