Согласно спецификациям OpenId Connect, идентификатор объекта, возвращаемый в токене идентификатора или из конечной точки пользователя, может быть public or pairwise. Если это попарный субъектный идентификатор, он вычисляется с использованием перенаправления Uri или идентификатора сектора Uri.Идентификатор объекта и идентификатор токена/конечная точка конечной точки/конечной точки ID объекта
Моих вопросов:
- Как нет перенаправления URI в Userinfo request, как вычисляются парной субъект идентификатор? Означает ли это, что токен доступа должен содержать перенаправление Uri (или публичный, и попарный идентификатор объекта)?
- Клиенты и серверы ресурсов могут звонить introspection endpoint. В Introspection Response серверы ресурсов должны получить общедоступный идентификатор субъекта, в то время как клиенты ожидают попарно. Как это можно достичь. Как и в предыдущем вопросе, означает ли это, что токен доступа должен содержать дополнительную информацию для вычисления идентификатора субъекта в зависимости от того, кто вызывает конечную точку?
Заранее спасибо.
Спасибо. Я с тобой согласен. Поскольку идентификатор Id и конечная точка Userinfo предназначены для клиента для аутентификации, нет никакой проблемы для обслуживания общедоступного или парного ID (в зависимости от конфигурации клиента). Но что касается конечной точки интроспекции, я думаю, что «sub» не следует включать, если сервер ресурсов не отправляет запрос (и в этом случае должен быть включен только публичный идентификатор). –