我的团队正在使用OpenID Connect RP(依赖方)制作现有产品,并且正在使用connect2id' s Nimbus JOSE + JWT library。该库支持签名和加密的JWT,但只先签名,然后加密。他们have their reasons不支持加密然后签名,但我们担心的是我们需要与之交互的一些OP可能会加密然后签名。
我们最初的目标是Salesforce和Google。我无法从他们的文档中确定,在担任OpenID Connect Providers时,Salesforce和Google是否使用sign-then-encrypt或encrypt-then-sign。
有人能指出我为这些OP记录的页面吗?或者它是非问题,因为没有人使用加密然后签名?感谢。
答案 0 :(得分:6)
当使用加密时,如果符合规范,Connect OP将始终签名然后加密。 Section 2 of OpenID Connect Core说,"如果ID令牌已加密,则必须签名然后加密"。 Section 16.14, Signing and Encryption Order更详细地说了同样的话。