0

我正在实现一个 OpenID 连接提供程序,但我在规范中看不到任何要求特定签名算法的内容。这意味着我应该能够只实现 HMAC/HS256 而不必为使用证书而烦恼。那正确吗?

如果是这样,为什么 jwks_uri 在元数据中是强制性的?

4

2 回答 2

1

我认为一个有效的问题。

核心规范暗示可能存在您不必这样做情况:

OP 必须支持使用 RSA SHA-256 算法(RS256 的 alg 值)签署 ID 令牌,除非 OP 仅支持从令牌端点返回 ID 令牌(如授权代码流的情况)并且只允许客户端注册指定 none 作为请求的 ID 令牌签名算法。

但随后发现文件继续none反驳这一点,因为它不允许广告只是id_token_signing_alg

必须包含算法 RS256。

当然,后者确实反过来证明了 required 是合理的jwks_uri,但感觉很奇怪。

于 2017-05-08T20:37:17.053 回答
1

Discovery 不是必需的,但如果您支持它,元数据文档必须包含jwks_uri并支持 RS256。爱荷华州。您可以在没有发现的情况下仅支持“无”。

于 2017-05-08T21:47:48.587 回答