Можно ли проверить пару токена доступа и токена идентификатора с помощью токена идентификатора at_hash после обновления токена доступа?

В моем очень ограниченном тестировании только с одним поставщиком OIDC (WSO2) метод проверки токена доступа (в спецификации здесь: https://openid.net/specs/openid-connect-core-1_0.html#ImplicitTokenValidation) по-прежнему работает с токеном доступа, возвращаемым из конечной точки обновления, и токеном идентификатора. возвращается из конечной точки токена. Я не могу найти ни одного упоминания об этом в спецификации.

Кроме того, если это действительно работает, кто-нибудь знает, как самый левый хэш токена доступа может соответствовать at_hash после обновления токена доступа. Я имею в виду, какой механизм используется для создания обновленного токена доступа для обеспечения совместимости с токеном id?


access-token openid-connect refresh-token openid
person ScottD    schedule 13.02.2021    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Время жизни ID-токена очень короткое, в некоторых системах около 5 минут, и его основная цель — просто создать локальную сессию пользователя. После этого ID-токен сбрасывается.

Поэтому я предполагаю, что хэши в ID-токене просто используются для проверки начального токена доступа.

person Tore Nestenius    schedule 13.02.2021
comment
Да, это правильно. Я был сбит с толку и не сравнивал новый токен доступа с токеном id. После того как я исправил эту ошибку в своем коде, сравнение at-hash токена доступа, полученного из конечной точки обновления, и токена id at-hash не совпало. - person ScottD; 12.03.2021