2017-10-27 8 views
0

토큰 요청을 한 후에 클레임을보기 위해 Jwt id_token을 해독 할 수있는 기밀 클라이언트 만 OpenIDDict를 구성하는 방법을 아는 사람이 있습니까? 아무도 암호화 안 함으로 기본 설정으로 Jwt 내부의 정보를 볼 수 있다고 생각하지 않습니다. 반면에 서버 비밀번호로 서명 된 경우 클라이언트는 해독 할 서버 비밀번호가 있어야하며 이는 올바르게 보이지 않습니다.OpenIDDict를 사용하는 기밀 클라이언트에 의한 id_token 인코딩

기밀 클라이언트의 토큰 요청에 필요한 클라이언트 보안을 사용하여 서버에서 Jt id_token을 암호화해야합니다. 그렇게하면 클라이언트 만이 id_token을 해독하여 서버 비밀 정보를 알 필요없이 소유권 주장을 볼 수 있습니다.

나는 이것을 올바르게 생각하고 있습니까? 이것은 OpenIDDict에서 어떤 방식으로 구성 될 수 있습니까?

답변

0
있도록 내가 OpenIDDict를 구성 얼마나

사람이 알고 있나요에만 기밀 클라이언트 토큰 요청을 한 후 내부의 주장을 볼 수있는 JWT의 id_token 암호를 해독 할 수 있습니다 (해당 클라이언트 ID와 클라이언트 비밀번호 포함)?

현재 지원되지 않으며 ... 거의 요구되지 않습니다.

왜? 왜냐하면 이미 전송 계층 (예 : TLS)에서 암호화를 사용하고 있으므로 신원 토큰이 항상 비밀 채널을 사용하여 검색되도록하기 때문에 토큰 종점을 사용하는 흐름에 특히 유용한 보안 수단이 아니기 때문입니다.