当前位置:  开发笔记 > 编程语言 > 正文

OpenID Connect Providers是否加密然后签署他们的JWT?

如何解决《OpenIDConnectProviders是否加密然后签署他们的JWT?》经验,为你挑选了1个好方法。

我的团队正在将现有产品作为OpenID Connect RP(依赖方)并使用connect2id的Nimbus JOSE + JWT库.该库支持签名和加密的JWT,但只先签名,然后加密.他们有理由不支持加密然后签名,但我们担心的是我们需要与之交互的一些OP可能会加密然后签名.

我们最初的目标是Salesforce和Google.我无法从他们的文档中确定,在担任OpenID Connect Providers时,Salesforce和Google是否使用sign-then-encrypt或encrypt-then-sign.

有人能指出我为这些OP记录的页面吗?或者它是非问题,因为没有人使用加密然后签名?谢谢.



1> Brian Campbe..:

如果/如果使用加密,则连接OP将始终签名然后加密,如果它们遵循规范.OpenID Connect Core的第2部分说:"如果ID令牌已加密,则必须进行签名然后加密".第16.14节,签名和加密顺序更详细地说明了同样的事情.

推荐阅读
惬听风吟jyy_802
这个屌丝很懒,什么也没留下!
DevBox开发工具箱 | 专业的在线开发工具网站    京公网安备 11010802040832号  |  京ICP备19059560号-6
Copyright © 1998 - 2020 DevBox.CN. All Rights Reserved devBox.cn 开发工具箱 版权所有