OpenId 是否应该隐藏 JWKS url?
Should the OpenId hide the JWKS url?
OpenId 标准发现 URL 公开了如何获取、撤销令牌、JWKS url 等。JWKS url 持有加密和解密令牌的密钥.
我试图隐藏这个 url 但我的 oidc 中间件将无法工作,这将在我的前端应用程序中创建登录错误。
我不明白为什么 OpenId 以这种方式工作?为什么我们不能隐藏 JWKS?这个在实际案例中是如何实现的呢?故意公开 JWKS url 让人们破解令牌?
JWKS url 仅公开 public 密钥,以便资源服务器可以使用非对称加密来验证令牌确实已由预期的授权机构签名和颁发。
JWKs URI 不完全 "hold the key to encrypt and decrypt the token"。它提供 public/private 密钥对的 public 密钥,提供商使用该密钥对 签署 它 produces/sends 和(可能)解密 它 consumes/receives.
的任何消息
由于这是一个 public 密钥,因此没有必要隐藏或保护提供它的端点。它不代表私人或敏感信息。请注意,相应的私钥永远不会共享或发布。
FWIW:其他答案和评论似乎混淆了加密和签名...
OpenId 标准发现 URL 公开了如何获取、撤销令牌、JWKS url 等。JWKS url 持有加密和解密令牌的密钥.
我试图隐藏这个 url 但我的 oidc 中间件将无法工作,这将在我的前端应用程序中创建登录错误。
我不明白为什么 OpenId 以这种方式工作?为什么我们不能隐藏 JWKS?这个在实际案例中是如何实现的呢?故意公开 JWKS url 让人们破解令牌?
JWKS url 仅公开 public 密钥,以便资源服务器可以使用非对称加密来验证令牌确实已由预期的授权机构签名和颁发。
JWKs URI 不完全 "hold the key to encrypt and decrypt the token"。它提供 public/private 密钥对的 public 密钥,提供商使用该密钥对 签署 它 produces/sends 和(可能)解密 它 consumes/receives.
的任何消息由于这是一个 public 密钥,因此没有必要隐藏或保护提供它的端点。它不代表私人或敏感信息。请注意,相应的私钥永远不会共享或发布。
FWIW:其他答案和评论似乎混淆了加密和签名...