机密客户端使用 OpenIDDict 对 id_token 进行编码
Encoding of id_token by confidential client using OpenIDDict
有谁知道我将如何配置 OpenIDDict,以便只有机密客户端(具有其客户端 ID 和客户端密码)才能解密 Jwt id_token 以在发出令牌请求后查看其中的声明?任何人都可以在默认设置不加密的情况下查看 Jwt 内部的信息,这似乎不对。另一方面,如果它是用服务器密码签名的,那么客户端必须有服务器密码才能解密它,这似乎也不对。
似乎 Jwt id_token 应该由服务器使用来自机密客户端的任何令牌请求所需的客户端机密进行加密。这样,只有客户端可以解码 id_token 以查看其中的声明,而无需知道服务器机密。
我的想法是否正确?这可以通过某种方式在 OpenIDDict 中配置吗?
Does anyone know how I would configure OpenIDDict so that only the confidential client (with their client id and client secret) can decrypt the Jwt id_token to view the claims inside after making a token request?
目前不支持...而且几乎没有需求。
为什么?因为对于使用令牌端点的流来说,这不是特别有用的安全措施,因为您已经应该在传输层(即 TLS)使用加密,以便始终使用秘密通道检索身份令牌。
有谁知道我将如何配置 OpenIDDict,以便只有机密客户端(具有其客户端 ID 和客户端密码)才能解密 Jwt id_token 以在发出令牌请求后查看其中的声明?任何人都可以在默认设置不加密的情况下查看 Jwt 内部的信息,这似乎不对。另一方面,如果它是用服务器密码签名的,那么客户端必须有服务器密码才能解密它,这似乎也不对。
似乎 Jwt id_token 应该由服务器使用来自机密客户端的任何令牌请求所需的客户端机密进行加密。这样,只有客户端可以解码 id_token 以查看其中的声明,而无需知道服务器机密。
我的想法是否正确?这可以通过某种方式在 OpenIDDict 中配置吗?
Does anyone know how I would configure OpenIDDict so that only the confidential client (with their client id and client secret) can decrypt the Jwt id_token to view the claims inside after making a token request?
目前不支持...而且几乎没有需求。
为什么?因为对于使用令牌端点的流来说,这不是特别有用的安全措施,因为您已经应该在传输层(即 TLS)使用加密,以便始终使用秘密通道检索身份令牌。