OpenID Connect 和聚合/分布式声明

Question

我对来自 OpenID Connect Core Specification 的汇总和分布式声明有疑问。

据我了解，这些声明来自不同的（外部）来源，并且根据规范及其示例，它包含在包含声明值的 JWT 中。我了解这个 JWT 之前是由源签名的，然后才聚合到 ID 令牌中。

关于汇总声明：

• RP 如何检索公钥并验证源发布的 JWT 的签名？
• The specification indicatesID Tokens SHOULD NOT use the JWS or JWE x5u, x5c, jku, or jwk Header Parameter fields.。在这种特殊情况下，是否允许将此标头之一包含在 JWT 标头中？

分布式声明实际上只是一个链接和可选的访问令牌来检索声明。

• 是否有任何理由只允许不记名令牌？为什么我们不能使用其他令牌类型，例如 MAC 或 POP 令牌？

Answer 1

我认为当前的分布式声明规范并未完全解决声明发布者的密钥发现问题。它假设了一个安全/信任假设，即分布式声明提供者先前为依赖方所知（即封闭联合模型）。

Answer 2

RP如何检索公钥并验证源发出的JWT的签名？

假设外部来源只是其他 OIDC 提供者，他们的公钥可以通过OIDC Discovery 获取 - 参见第 4.2 节，参数“jwks_uri”。