OpenID Connect RESTful 使用 MITREID 客户端的身份传播

OpenID Connect RESTful Identity Propagation with MITREID Client

我想使用 Java Spring MITREID 客户端框架设置访问身份验证服务,包括对分布式 REST 客户端 (API) 的调用,它将代表访问用户。基于 OpenID Connect 的 SSO 登录服务已使用 MITREID 客户端进行配置,从我们的中央身份服务 (IdP) 接收并解析有效的 JWT 令牌。我想象应用程序服务器(或应用程序本身)能够将 JWT 身份令牌包含到 GET/POST header 部分或 RESTful 请求的有效负载中并将请求转发到下一个 RESTful 资源服务器。

Diagram: 
----------
<user><browser><IdP><primary server with MITREID client><RESTful GET or POST><secondary server with MITREID client>

问题: 如何设置辅助服务器以基于有效的 JWT ID 令牌或使用授权持有者令牌或 JSON 数据部分中的 "jwt:" 标记来实施身份验证流程。令牌是具有可信信息的 self-contained 数据。出于性能原因,我认为不需要添加重新验证步骤,也不需要 /userinfo 或 /introspect,但需要添加基本的签名验证和到期检查。这种方法被称为 "identity propagation"。 MITREID OIDC 客户端项目是否已经提供此功能?

讨论移至Github,见issue: https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server/issues/1172

感谢 Justin Richer (MITREID) 先生回答我的问题。