使用 OpenID Connect 保护 API - OP 的 RP 信任

Question

掌握 OpenID Connect 与第三方 IdP (OP) 并保护 API。我对客户端和用户代理组件以及 OAuth2.0 流程和范围感到满意，以获取从 IdP 发给我的客户端的访问令牌和 id 令牌

我正在努力解决的是资源提供者端以及安全 API 如何信任客户端传递的访问令牌。我一直将信任元素等同于 SAML 以及 IdP 和 SP 之间静态配置数据的初始交换。这似乎在 OpenID Connect 中丢失了，所以我错过了 trust 元素。我正在阅读有关动态发现的信息，但我再次错过了关于 RP 和 IdP 之间信任的技巧。是什么阻止我设置流氓 IdP？为什么 API 提供者应该信任来自我的 IdP 的令牌？

最后一个问题是关于 RP 中唯一标识符的本地表示。帐户 ID 是否需要在访问令牌出现之前存在？我希望它确实如此（再次使用 SAML 类比，它需要在身份验证成功之前进行本地帐户表示）因此依赖方的帐户管理也是端到端身份验证成功的要求。

归结为两个问题。 API 如何信任提供的访问令牌？ API 提供者是否需要在成功验证这些资源请求之前配置帐户？

提前致谢。

Answer 1

动态客户端注册仅用于各方之间没有预先建立的信任并且希望允许任何具有有效证书的 OP 运行的情况。

当您想限制 OP 集时，您需要提前静态注册这些 OP，从而执行与 SAML 中相同类型的引导来创建预先建立的信任。

可以通过 RP 接收的 id_token 中的 (<sub>,<iss>) 元组创建唯一标识符。

Answer 2

对于 RP 与 OP 的动态注册，没有描述信任度量。可以强制执行两种 HTTP 信任级别。

1. HTTPS 需要与链接到信任证书根的证书一起使用。
2. HTTPS 具有 EV 证书。这需要 CAB 定义的内部打样。

我已提议在 IDESG 中使用信任生态系统，但这还有一段距离。 看看 Kantara 是否有任何解决方案会很有趣。

Answer 3

从 OpenID Connect 的角度来看，您是正确的。这并不意味着您构建的任何依赖方代码都需要不安全。我提到了两种验证 OP 的方法。

OP 可以强制执行一组类似的安全规则，但正如其他人所说，大多数 OP 出于这个原因不启用动态注册。

Answer 4

id_token 是 JWS 签名的 JWT。它由 OpenID Connect OP (IdP) 签名，通常使用其私钥。您必须验证签名，以确保您知道 JWT/id_token 发射器。之后，由您决定您是否可以信任此发射器来执行客户愿意实现的操作。

id_token 包含一个声明 (at_hash)，它是对 access_token 的引用，因此您可以确定访问令牌是由同一个 OP 生成的。