0

尽管 Thinktecture.IdentityServer 支持使用对称密钥签署 jwt,但 OidcClient 类不支持使用对称密钥验证令牌 - 它仅支持验证使用证书签署的令牌。这是故意的吗?使用客户端密钥签署 jwt 是否存在问题或任何限制?我在要求客户端应用程序拥有证书方面遇到了一些阻力,如果我可以在不影响安全性的情况下避免它,我想这样做。

4

1 回答 1

0

IIRC OidcClient 已经很老了——我们只是没有实现它。您的应用程序不需要证书,它们只需要能够使用非对称加密验证签名。

使用对称密钥仅对基于服务器的应用程序有意义,因为该密钥必须安全存储(否则对应用程序进行逆向工程的任何人都可以创建有效的身份令牌)。

另一种选择是将 id 令牌发送回 idsrv 以进行验证(对于没有所需加密库的客户端)。此端点当前在 beta 1 中不存在 - 但在我们的待办事项列表中。

于 2014-08-27T10:22:47.570 回答