使用 salt 创建和验证 at_hash
Creating and validating at_hash with salt
当我创建访问令牌的 at_hash 时,哈希值是否应该加盐?如果是,如果客户不知道使用的盐,那么如何验证?不幸的是,specs 对此并没有多说。
不,散列不应该加盐。请记住,at_hash 将 access_token 绑定到 id_token 并保护它,因为 id_token 已签名。 access_token 的值与需要加盐的密码完全不同,因为它的字符较少且随机性较低。
当我创建访问令牌的 at_hash 时,哈希值是否应该加盐?如果是,如果客户不知道使用的盐,那么如何验证?不幸的是,specs 对此并没有多说。
不,散列不应该加盐。请记住,at_hash 将 access_token 绑定到 id_token 并保护它,因为 id_token 已签名。 access_token 的值与需要加盐的密码完全不同,因为它的字符较少且随机性较低。