Насколько безопасен openidconnect, когда кто-нибудь может увидеть signkey через точки обнаружения?

Question

Я использую Azure Ad openidconnect используя. Net core MVC, я могу видеть ключ входа, предоставленный azure объявлением через конечную точку обнаружения. Теперь я запутался, насколько безопасен openidconnect, когда кто-нибудь может увидеть ключ входа, используемый для подписи моего токена.

Answer 1

Публикуемый ключ - это так называемый ключ publi c, который принадлежит паре ключей, состоящей из этого ключа publi c и соответствующего закрытого ключа; последний должен быть приватным для владельца, первый - нет.

Answer 2

Используются два криптографически связанных ключа (т. Е. Пара ключей):

1. Закрытый ключ: это ключ, используемый для подписи токена. В типичном сценарии только эмитент токена (в данном случае Azure AD) будет иметь доступ к закрытому ключу.
2. Publi c ключ: это ключ, используемый для проверки подпись. В этом сценарии ключ publi c используется для проверки того, что подпись токена была сгенерирована с использованием закрытого ключа этой пары ключей.

Если вы знаете, какому эмитенту доверяете (например, Azure) AD), и вы можете открыть безопасный канал связи с этим эмитентом (например, https://login.microsoftonline.com/{tenant-id}/v2.0/.well-known/openid-configuration), вы можете использовать этот ключ publi c, чтобы проверить, что данный подписанный токен действительно был подписан доверенным эмитентом токена.