Безопасный способ для сервера ресурсов получить сертификат подписи поставщика удостоверений для проверки токена? - PullRequest
0 голосов
/ 20 апреля 2020

Я реализую часть сервера ресурсов потока авторизации OAuth2, где сервер ресурсов должен решать для каждого запроса, является ли AccessToken (представленный как токен Bearer в заголовке Http) действительным токеном.

Для этого сервер ресурсов должен иметь возможность проверять подпись токенов с помощью сертификата подписи провайдеров идентификации (ключ publi c).

Теперь в моем случае я могу получить сертификат с помощью запроса Https. к провайдеру идентификации с запросом: https://IDP_HOST_ROUTE / SigningCertificate

Вопрос в том, считается ли это безопасным способом или как его можно гарантировать, что сертификат, который я получаю от конечной точки правильный?

Что делать, если Identity Server перезапускается, и злоумышленник удерживает Uri сертификата на время перезапуска?

При запросе поставщика Identity для подписи сертификата по сети мне следует убедитесь, что запрашивающий клиент принимает соединение HTTP-SSL только в том случае, если на стороне сервера соединения HTTPS-SSL используется сертификат компьютера, подписанный (в точности) Root ЦС компании, к которой принадлежит поставщик удостоверений (и откажитесь от всех остальных). соединения)?

Спасибо за комментарии заранее! С наилучшими пожеланиями

...