OpenID 연결 제공자를 구현 중이며 특정 서명 알고리즘을 요구하는 사양에는 아무것도 표시되지 않습니다. 이것은 내가 HMAC/HS256을 구현할 수 있어야하고 인증서 사용에 신경 쓸 필요가 없다는 것을 의미합니다. 그게 맞습니까?OpenID 연결 제공자, RSAC가 아닌 HMAC 지원, jwks_uri없이 준수하는 방법?
그렇다면 왜 jwks_uri가 메타 데이터에 필수입니까?
나는 유효한 질문이라고 생각합니다.
당신이하지 않는 상황 이에가있을 수 있다는 핵심 사양 hints :
는 RSA SHA-256 알고리즘 서명 ID 토큰 (RS256의 ALG 값)를 지원해야한다OPS OP가 인증 코드 흐름의 경우와 같이 토큰 끝점에서 ID 토큰 을 반환하는 것을 지원하지 않는 경우에만 클라이언트가 요청 ID 토큰 서명 알고리즘으로 없음을 지정하여 등록 할 수 있습니다.
그러나
다음 검색 문서 goes on이 허용하지 않는 것만으로none
id_token_signing_alg로 광고하는 것을 모순 : 알고리즘 RS256이 포함되어야한다
.
물론 후자는 물론 jwks_uri이 필요하다고 정당화하지만 이상하게 느껴집니다.
검색이 필요하지 않지만 메타 데이터 문서를 지원하려면 jwks_uri을 포함하고 RS256을 지원해야합니다. IOW. Discovery를 사용하지 않고 "없음"을 지원할 수 있습니다.