0

如果身份验证服务器提供多个 JSON Web 密钥(例如https://www.googleapis.com/oauth2/v3/certs),它们应该用于验证 OpenID Connectid_token作为 OPenID Connect 隐式流程的一部分?

是否应该id_token使用第一个 JSON Web 密钥、所有 JSON Web 密钥id_token进行验证,或者如果可以使用这些提供的任何 JSON Web 密钥进行验证,则认为它是有效的?

谢谢!

4

1 回答 1

1

当 OpenID Connect 提供者可以使用多个密钥来签署一个id_token时, 的标头id_token通常包含kid实际使用的密钥的密钥标识符(在元素中)。这对应于kid您描述的 (jwks_uri) 端点上发布的 JWK 中的元素。因此,id_token只有可以使用与标头中的相关联的密钥进行验证,它才会有效kid

于 2016-02-13T00:15:11.293 回答