适用于 JWT 的 Azure AD 签名密钥

Question

当您将 Open ID 与 Azure AD 连接使用时，JWT 颁发的令牌（id 令牌）使用非对称密钥进行签名。我看到了公钥来验证元数据文件中的签名是否可用，https://login.microsoftonline.com/common/discovery/keys。但是，我找不到任何有关如何生成这些密钥的文档。如何更改那里可用的密钥，或者如何指定不同的密钥来为我的租户签署 JWT？

Answer 1

所有来源和信息都表明此证书翻转是由 Azure AD 他们自己完成的。消费者无法进行手动翻转或放置他们偏好的证书。 this 回答支持此声明。另外，请查看press release，其中提到了 2016 年发生的翻车

您必须随时准备好接受翻转。最佳实践是通过发现文档获取关键信息。这在openid connect documentation

中有解释

Answer 2

根据this 的文档，为您的应用程序拥有自己的签名密钥的唯一方法是自定义声明映射。尽管描述非常模糊，并且如何做到这一点的说明很少。