我目前正在尝试使用IdentityServer4为我的用户构建跨不同应用程序的单点登录体验。它们都托管在同一本地网络中,没有第三方应用程序进行身份验证。客户端应用程序仍然基于Katana/Owin。
我正在使用隐式工作流程。
目前,我仍然使用在运行时随机生成的证书来签署令牌。
我想知道:
- 我是否实际上需要更多内容以及将其保留下来的影响是什么? - 签名实际上是如何由客户端验证的?
对于第二个问题,我在openidconnect规范中找到了这段内容:
“OP通过其Discovery文档广告其公钥,或者可以通过其他方式提供此信息。 RP通过其Dynamic Registration请求声明其公钥,或者可以通过其他方式传达此信息。”
那么这是否意味着Katana实际上正在从IdentityServer4获取公钥并进行相应的验证?如果是这样,证书是否更改会有影响?发放和验证令牌之间的时间总是非常短的,正确吗?那么为什么我需要一个适当的、很少更改的证书呢?
我正在使用隐式工作流程。
目前,我仍然使用在运行时随机生成的证书来签署令牌。
我想知道:
- 我是否实际上需要更多内容以及将其保留下来的影响是什么? - 签名实际上是如何由客户端验证的?
对于第二个问题,我在openidconnect规范中找到了这段内容:
“OP通过其Discovery文档广告其公钥,或者可以通过其他方式提供此信息。 RP通过其Dynamic Registration请求声明其公钥,或者可以通过其他方式传达此信息。”
那么这是否意味着Katana实际上正在从IdentityServer4获取公钥并进行相应的验证?如果是这样,证书是否更改会有影响?发放和验证令牌之间的时间总是非常短的,正确吗?那么为什么我需要一个适当的、很少更改的证书呢?