OpenID Connect 提供商是否加密然后签署他们的 JWT?
Do OpenID Connect Providers encrypt then sign their JWTs?
我的团队正在使现有产品成为 OpenID Connect RP(依赖方)并使用 connect2id 的 Nimbus JOSE + JWT library. That library supports signed and encrypted JWTs, but only signed first, then encrypted. They have their reasons 不支持加密然后签名,但我们担心的是我们需要的一些 OP交互可能会先加密然后签名。
我们最初的目标是 Salesforce 和 Google。我一直无法从他们的文档中确定,在充当 OpenID Connect 提供商时,Salesforce 和 Google 是使用先签名后加密还是先加密后签名。
任何人都可以指出为这些 OP 记录的页面吗?或者这不是问题,因为没有人使用加密然后签名?谢谢
When/if 使用加密,Connect OP 将始终签名然后加密,如果他们遵循规范。 Section 2 of OpenID Connect Core says, "If the ID Token is encrypted, it MUST be signed then encrypted". Section 16.14, Signing and Encryption Order 更详细地说明了同样的事情。
我的团队正在使现有产品成为 OpenID Connect RP(依赖方)并使用 connect2id 的 Nimbus JOSE + JWT library. That library supports signed and encrypted JWTs, but only signed first, then encrypted. They have their reasons 不支持加密然后签名,但我们担心的是我们需要的一些 OP交互可能会先加密然后签名。
我们最初的目标是 Salesforce 和 Google。我一直无法从他们的文档中确定,在充当 OpenID Connect 提供商时,Salesforce 和 Google 是使用先签名后加密还是先加密后签名。
任何人都可以指出为这些 OP 记录的页面吗?或者这不是问题,因为没有人使用加密然后签名?谢谢
When/if 使用加密,Connect OP 将始终签名然后加密,如果他们遵循规范。 Section 2 of OpenID Connect Core says, "If the ID Token is encrypted, it MUST be signed then encrypted". Section 16.14, Signing and Encryption Order 更详细地说明了同样的事情。