访问令牌刷新后,是否可以使用 id 令牌 at_hash 验证访问令牌和 id 令牌对?

【问题标题】:Can an access token and id token pair be validated using the id token at_hash after the access token has been refreshed?访问令牌刷新后,是否可以使用 id 令牌 at_hash 验证访问令牌和 id 令牌对?
【发布时间】:2021-02-14 00:10:25
【问题描述】:

在我仅使用一个 OIDC 提供程序 (WSO2) 进行的非常有限的测试中,访问令牌验证方法(此处的规范:https://openid.net/specs/openid-connect-core-1_0.html#ImplicitTokenValidation)仍然适用于从刷新端点返回的访问令牌和从令牌端点。我在规范中找不到任何关于这一点的保证。

另外,如果这确实有效,有没有人知道在访问令牌被刷新后访问令牌最左边的哈希如何仍然可以匹配 at_hash。我的意思是,创建刷新的访问令牌以保持与 id 令牌的兼容性的机制是什么?

【问题讨论】:

    标签: openid-connect openid access-token refresh-token


    【解决方案1】:

    ID-token 的生命周期很短,在某些系统中只有 5 分钟,其主要目的只是创建本地用户会话。之后,ID-token 将被丢弃。

    所以我猜 ID-token 中的哈希只是用来验证初始访问令牌。

    【讨论】:

    • 是的,没错。我很困惑,并没有将新的访问令牌与 id 令牌进行比较。一旦我纠正了我的代码中的那个错误,从刷新端点检索到的访问令牌中的 at-hash 与 id 令牌 at-hash 的比较不匹配。
    猜你喜欢
    • 1970-01-01
    • 2019-11-11
    • 2019-04-15
    • 2020-03-10
    • 1970-01-01
    • 2020-01-09
    • 2021-08-23
    • 2015-04-01
    • 2019-06-29
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode