Я реализую часть сервера ресурсов потока авторизации OAuth2, где сервер ресурсов должен решать для каждого запроса, является ли AccessToken (представленный как токен Bearer в заголовке Http) действительным токеном.
Для этого сервер ресурсов должен иметь возможность проверять подпись токенов с помощью сертификата подписи провайдеров идентификации (ключ publi c).
Теперь в моем случае я могу получить сертификат с помощью запроса Https. к провайдеру идентификации с запросом: https://IDP_HOST_ROUTE / SigningCertificate
Вопрос в том, считается ли это безопасным способом или как его можно гарантировать, что сертификат, который я получаю от конечной точки правильный?
Что делать, если Identity Server перезапускается, и злоумышленник удерживает Uri сертификата на время перезапуска?
При запросе поставщика Identity для подписи сертификата по сети мне следует убедитесь, что запрашивающий клиент принимает соединение HTTP-SSL только в том случае, если на стороне сервера соединения HTTPS-SSL используется сертификат компьютера, подписанный (в точности) Root ЦС компании, к которой принадлежит поставщик удостоверений (и откажитесь от всех остальных). соединения)?
Спасибо за комментарии заранее! С наилучшими пожеланиями