Lequel des JWK d'un fournisseur OAuth 2.0 doit être utilisé pour vérifier un OpenID Connect `id_token`?

Question

Si un serveur d'authentification fournit plusieurs clés Web JSON (par exemple https://www.googleapis.com/oauth2/v3/certs) qui doivent être utilisées pour vérifier un OpenID Connect id_token dans le cadre du flux implicite OPenID Connect?

Le code id_token doit-il être vérifié avec la première clé Web JSON, toutes les clés Web JSON ou le id_token est-il considéré comme valide s'il peut être vérifié avec l'une des clés Web JSON fournies?

Merci!

Answer 1

Quand il y a plusieurs touches en jeu que le fournisseur OpenID Connect pourrait utiliser pour signer un id_token, l'en-tête de la id_token contiendrait généralement un identificateur de clé (dans l'élément kid) de la clé qui est effectivement utilisée. Cela correspond à l'élément kid dans JWK publié sur le point de terminaison (jwks_uri) que vous décrivez. Ainsi, le id_token ne serait valide que s'il peut être vérifié à l'aide de la clé associée au kid dans l'en-tête.