我的团队正在将现有产品作为OpenID Connect RP(依赖方)并使用connect2id的Nimbus JOSE + JWT库.该库支持签名和加密的JWT,但只先签名,然后加密.他们有理由不支持加密然后签名,但我们担心的是我们需要与之交互的一些OP可能会加密然后签名.
我们最初的目标是Salesforce和Google.我无法从他们的文档中确定,在担任OpenID Connect Providers时,Salesforce和Google是否使用sign-then-encrypt或encrypt-then-sign.
有人能指出我为这些OP记录的页面吗?或者它是非问题,因为没有人使用加密然后签名?谢谢.
如果/如果使用加密,则连接OP将始终签名然后加密,如果它们遵循规范.OpenID Connect Core的第2部分说:"如果ID令牌已加密,则必须进行签名然后加密".第16.14节,签名和加密顺序更详细地说明了同样的事情.
京公网安备 11010802040832号 | 京ICP备19059560号-6 