使用 Azure AD 的 Open ID 连接时,颁发的 JWT 令牌(id token)由非对称密钥签名。我看到用于验证该签名的公钥可以在元数据文件中找到,https://login.microsoftonline.com/common/discovery/keys。然而,我找不到任何有关如何生成这些密钥的文档。如何更改可用的密钥或者我如何指定一个不同的密钥来为我的租户签署JWT?
所有资源和信息均表明,证书的更新是由Azure AD自行完成的。消费者无法手动进行证书更新或选择偏好证书。这一说法得到了这个答案的支持。此外,请查看此次发布,其中提到了2016年的一个证书更新。从您的角度来看,您必须随时准备接受证书更新。最佳实践是通过发现文档获取关键信息。这在openid connect文档中有解释。