IdToken 未使用 AzureAD 签名

Posted 2023-03-08

【中文标题】IdToken 未使用 AzureAD 签名

【英文标题】：IdToken not signed with AzureAD

【发布时间】：2016-04-17 11:59:40

【问题描述】：

我正在使用 Azure AD Connect 通过 OpenId Connect 进行身份验证和许可。

我不明白为什么我会收到来自 Azure 的 JWT IdToken without 签名和 AccessToken with 签名。这可能是由于为 IdToken 设置了“alg=none”属性。但是为什么不也签署 IdToken 呢？

【参考方案1】：

是否直接从 Azure 的令牌端点获取 ID 令牌？如果是这样，则通信是安全的，并且主机通过 TLS/HTTPS 进行身份验证，因此无需签名或完整性保护 ID 令牌，这仅适用于您（您的客户端）。

【讨论】：

所以如果我理解只有 AccessToken 被签名，因为它可以传递给另一个应该能够检查令牌内容完整性的应用程序。对吗？

Steven，您在与本地客户合作吗？在服务的下一次更新中，公共客户端的 id_tokens 也将被签名。对于机密客户端，所有 id_tokens 都应该已经签名（尽管 Brian 说的是准确的，当然 - 当您从令牌端点获取令牌时，您不需要检查签名）