Openid Connect: разделение идентификатора токена между проверяющими сторонами

Question

Предположим, у нас есть 3 проверяющих стороны с 1 поставщиком OpenID (= поставщик удостоверений).Если пользователь хочет войти в первое приложение, он будет перенаправлен к провайдеру идентификации (через поток кода авторизации), а первое приложение будет иметь в конце потока токен id и токен доступа.

Если пользователь в течение 10 минут хочет войти во вторую проверяющую сторону, он будет автоматически перенаправлен в IDP (через поток кода авторизации), и IDP распознает пользователя по cookie.Поэтому IDP не будет запрашивать у пользователя аутентификацию, и в конце потока вторая проверяющая сторона получит токен ID и токен доступа.

Мой вопрос: можете ли вы подтвердить, что токен ID и токен доступавторой проверяющей стороны будет отличаться от идентификатора токена и токена доступа первой проверяющей стороны?

Answer 1

Да, они должны отличаться.

В идентификационных токенах утверждение aud должно содержать приложение проверяющей стороны, для которого предназначен токен.

В токене доступа обычно естьчто-то вроде утверждения client_id, чтобы проверяющая сторона могла определить, какому клиенту был выдан этот токен - хотя это не гарантируется.

Подробнее о токенах OpenID Connect JWT см. В спецификации JWT .