刷新访问令牌后,是否可以使用 ID 令牌 at_hash 验证访问令牌和 ID 令牌对?
Can an access token and id token pair be validated using the id token at_hash after the access token has been refreshed?
在我仅使用一个 OIDC 提供商 (WSO2) 进行的非常有限的测试中,访问令牌验证方法(在此处的规范中:https://openid.net/specs/openid-connect-core-1_0.html#ImplicitTokenValidation)仍然适用于从刷新端点返回的访问令牌和 ID从令牌端点返回的令牌。我在规范中找不到任何关于这一点的保证。
此外,如果这确实有效,有谁知道访问令牌最左边的哈希如何在刷新访问令牌后仍然可以匹配 at_hash。我的意思是,用于创建刷新的访问令牌以保持与 id 令牌的兼容性的机制是什么?
ID-token 的生命周期很短,在某些系统中只有 5 分钟,其主要目的只是创建本地用户会话。之后 ID 令牌被丢弃。
所以我猜 ID 令牌中的哈希只是用来验证初始访问令牌。
在我仅使用一个 OIDC 提供商 (WSO2) 进行的非常有限的测试中,访问令牌验证方法(在此处的规范中:https://openid.net/specs/openid-connect-core-1_0.html#ImplicitTokenValidation)仍然适用于从刷新端点返回的访问令牌和 ID从令牌端点返回的令牌。我在规范中找不到任何关于这一点的保证。
此外,如果这确实有效,有谁知道访问令牌最左边的哈希如何在刷新访问令牌后仍然可以匹配 at_hash。我的意思是,用于创建刷新的访问令牌以保持与 id 令牌的兼容性的机制是什么?
ID-token 的生命周期很短,在某些系统中只有 5 分钟,其主要目的只是创建本地用户会话。之后 ID 令牌被丢弃。
所以我猜 ID 令牌中的哈希只是用来验证初始访问令牌。