Должен ли OpenId скрывать URL JWKS?

Question

Стандарт OpenId имеет URL-адрес обнаружения, который показывает, как получить, отозвать токен, URL-адрес JWKS и т. Д. URL-адрес JWKS содержит ключ для шифрования и дешифрования токена.

Я пытался скрыть этот URL, но мое промежуточное программное обеспечение oidc не будет работать, и это приведет к ошибке входа в мое приложение переднего плана.

Я не понимаю, почему OpenId работает таким образом?Почему мы не можем скрыть JWKS?Как это реализовать в реальном случае?Умышленно раскрыть URL JWKS для людей, чтобы взломать токен?

Answer 1

URL-адрес JWKS предоставляет только открытый ключ, чтобы серверы ресурсов могли использовать асимметричное шифрование для проверки того, что токен действительно был подписан и выдан ожидаемым органом.

Answer 2

URI JWKs точно не «держит ключ для шифрования и дешифрования токена».Он представляет открытый ключ пары открытый / закрытый ключ, который поставщик использует для подписи токена, который он производит / отправляет и (возможно) для расшифровки любойсообщения, которые он потребляет / получает .

Поскольку это открытый ключ, нет смысла скрывать или защищать конечную точку, на которой он обслуживается.Он не представляет личную или конфиденциальную информацию.Обратите внимание, что соответствующий закрытый ключ никогда не передается и не публикуется.

FWIW: другой ответ и комментарии, похоже, объединяют шифрование и подпись ...