Codierung von id_token durch vertraulichen Client mit OpenIDDict

Question

Weiß jemand, wie ich OpenIDDict konfigurieren würde, so dass nur der vertrauliche Client (mit ihrer Client-ID und geheimen Client) das Jwt id_token entschlüsseln kann, um die Ansprüche nach einer Token-Anfrage anzuzeigen? Es scheint nicht richtig zu sein, dass jemand die Informationen innerhalb des JWT mit den Standardeinstellungen ohne Verschlüsselung anzeigen kann. Auf der anderen Seite, wenn es mit dem Servergeheimnis signiert ist, dann muss der Client das Servergeheimnis haben, um es zu entschlüsseln, was auch nicht richtig erscheint.

Scheint so, als ob das Jwt id_token vom Server verschlüsselt werden sollte, indem das Clientgeheimnis verwendet wird, das für jede Tokenanforderung von einem vertraulichen Client benötigt wird. Auf diese Weise konnte nur der Client das id_token dekodieren, um die Ansprüche im Inneren anzuzeigen, ohne das Servergeheimnis kennen zu müssen.

Darf ich darüber nachdenken? Kann dies in OpenIDDict irgendwie konfiguriert werden?

Answer 1

Wer weiß, wie ich OpenIDDict so dass nur die vertrauliche Client (mit ihrem Client-ID und Client-Schlüssel) konfigurieren würde die Jwt id_token entschlüsseln, die Forderungen innerhalb nachdem Sie einen symbolischen Antrag anzusehen?

Es wird derzeit nicht unterstützt ... und dafür gibt es fast keine Nachfrage.

Warum? Weil es keine besonders nützliche Sicherheitsmaßnahme für Flüsse ist, die den Token-Endpunkt verwenden, da Sie bereits Verschlüsselung auf der Transportschicht (d. H. TLS) verwenden sollten, so dass das Identitätstoken immer unter Verwendung eines geheimen Kanals abgerufen wird.