Не удалось проверить идентификатор OAuth2 RS256 из неявного потока на сервере: неверный алгоритм - PullRequest
0 голосов
/ 31 августа 2018

Итак, во-первых, почему я использую поток неявного предоставления, даже если у меня есть сервер, который может выполнять поток кода авторизации?
-> Чтобы сервер не выполнял свою работу и чтобы не было необходимости сохранять какие-либо данные с состоянием для проверки токенов (state, nonce).

Так что я использую неявный поток для получения id_token только на стороне клиента (только для JS). Эта часть работает хорошо, я получаю действительный id_token.

Я отправляю id_token на сервер и хочу дважды проверить сервер подписи, чтобы убедиться, что это допустимый токен.

Но две библиотеки, которые я использовал, говорят, что алгоритм не хорош:
- jsonwebtoken
JsonWebTokenError: неверный алгоритм
- nJwt
JwtParseError: Неожиданный алгоритм подписи

Алгоритм RS256.
IDP - это Google.

Почему алгоритм RS256 отклонен этими библиотеками?

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...