OpenID 연결 및 집계/분산 클레임

Question

OpenID Connect Core Specification의 집계 및 배포 클레임에 대한 문의 사항이 있습니다.

제가 아는 바와 같이, 이러한 주장은 다른 (외부) 출처에서 나온 것이고 명세서 및 예제에 따라 청구 값이 포함 된 JWT로 구성되어 있습니다. 이 JWT가 ID 토큰에 집계되기 전에 소스에 의해 서명 된 것을 이해합니다.

에 관한 집계 주장 :

• 어떻게 소스가 발행 한 JWT의 서명을 공개 키를 검색하고 확인할 수 있습니다 RP?
• The specification indicatesID Tokens SHOULD NOT use the JWS or JWE x5u, x5c, jku, or jwk Header Parameter fields.. 이 특별한 경우에이 헤더 중 하나가 JWT 헤더에 포함되도록하는 것이 적절합니까?

분산 요청은 사실 링크이고 선택적으로 클레임을 검색하는 액세스 토큰입니다.

• 베어러 토큰 만 허용해야하는 이유가 있습니까? MAC 토큰이나 POP 토큰과 같은 다른 토큰 유형을 사용할 수없는 이유는 무엇입니까?

Answer 1

RP가 공개 키를 검색하고 원본에서 발행 한 JWT의 서명을 검증하는 방법은 무엇입니까?

외부 소스가 다른 OIDC 공급자 일 뿐이므로 해당 공개 키는 OIDC Discovery - 4.2 섹션의 "jwks_uri"매개 변수를 통해 얻을 수 있습니다.