虽然Thinktecture。IdentityServer支持使用对称密钥签名jwt, oidclient类不支持使用对称密钥验证令牌——它只支持验证使用证书签名的令牌。这是有意为之吗?使用客户端秘密签署jwt是否存在问题或限制?我得到一些推回要求客户端应用程序有一个证书,如果我能避免它而不影响安全,我想这样做。
IIRC oidclient是相当老的-我们只是没有实现它。您的应用程序不需要证书,它们只需要能够使用非对称加密来验证签名。
使用对称密钥只对基于服务器的应用有意义,因为该密钥必须安全存储(否则任何逆向工程应用的人都可以创建有效的身份令牌)。
另一种选择是将id令牌发送回idsrv进行验证(对于没有所需加密库的客户端)。此端点目前在beta 1中不存在-但在我们的待办事项列表中。