Weiß jemand, wie ich OpenIDDict konfigurieren würde, so dass nur der vertrauliche Client (mit ihrer Client-ID und geheimen Client) das Jwt id_token entschlüsseln kann, um die Ansprüche nach einer Token-Anfrage anzuzeigen? Es scheint nicht richtig zu sein, dass jemand die Informationen innerhalb des JWT mit den Standardeinstellungen ohne Verschlüsselung anzeigen kann. Auf der anderen Seite, wenn es mit dem Servergeheimnis signiert ist, dann muss der Client das Servergeheimnis haben, um es zu entschlüsseln, was auch nicht richtig erscheint.Codierung von id_token durch vertraulichen Client mit OpenIDDict
Scheint so, als ob das Jwt id_token vom Server verschlüsselt werden sollte, indem das Clientgeheimnis verwendet wird, das für jede Tokenanforderung von einem vertraulichen Client benötigt wird. Auf diese Weise konnte nur der Client das id_token dekodieren, um die Ansprüche im Inneren anzuzeigen, ohne das Servergeheimnis kennen zu müssen.
Darf ich darüber nachdenken? Kann dies in OpenIDDict irgendwie konfiguriert werden?