ich OpenIddict in meiner Web-app bin mit und haben gerade ersetztÄndern des Signaturschlüssel nicht ungültig bestehende Token
.AddEphemeralSigningKey()
mit
.AddSigningCertificate("my thumbprint")
Ich möchte jetzt bestätigen, dass das neue Zertifikat wird tatsächlich verwendet, aber wenn ich ein access_token einreiche, das während der Verwendung des alten (ephemeren) Schlüssels erstellt wurde, wird es ohne Problem angenommen. Ich würde erwarten, dass es abgelehnt wird, jetzt wo die Web-App einen anderen Signaturschlüssel verwendet!
Oder missverstehe ich den Zweck des Unterschriftsschlüssels?
Ich fand this Post, der angibt, dass der Signaturschlüssel nicht verwendet wird, um Zugriffstoken zu signieren, die bei der Verwendung des ASP.Net Core Data Protection-Stacks erstellt wurden, was meines Erachtens zu meinem Szenario passt, da ich keine JWT-Token verwende oder das Token anpasse Format.
In diesem Fall, wofür wird der Signaturschlüssel verwendet und/oder warum wird er benötigt?