サブジェクト識別子とIDトークン/ユーザー情報エンドポイント/イントロスペクションエンドポイント

Question

OpenId Connect仕様に従って、IDトークンまたはUserinfoエンドポイントから返されるサブジェクトIDはpublic or pairwiseです。 ペアワイズのサブジェクト識別子の場合は、リダイレクトUriまたはセクタ識別子Uriを使用して計算されます。

私の質問は以下のとおりです。

Userinfo requestにはリダイレクトURIが存在しないので

1. は、どのようにペアごとのサブジェクト識別子を計算していますか？アクセストークンにリダイレクトUri（またはパブリックとペアワイズの両方のサブジェクト識別子）が含まれている必要がありますか？
2. クライアントとリソースサーバーはintrospection endpointを呼び出すことがあります。 Introspection Responseでは、リソースサーバは、クライアントがペアワードのものを待っている間にパブリックサブジェクト識別子を取得する必要があります。どのように達成することができます。前の質問と同様に、アクセストークンには、誰がエンドポイントを呼び出しているかに応じてサブジェクト識別子を計算するための追加情報が含まれている必要がありますか？

ありがとうございます。

Answer 1

最初に、クライアントはパブリックIDまたはペアIDの両方で構成されていますが、両方で同時に構成されることはありません（最初にペアワイズIDを使用するというプライバシ保護の目的を却下する可能性があります。 UserInfoやイントロスペクション）は、それらが混在見ることはないだろう。古典的な不透明なアクセストークンのために対象にプロバイダマップアクセストークンを？

を行い

どのように（つまり、ランダムな文字列）プロバイダは、単にアクセスからルックアップテーブルを保持します被験者へのトークン（ペアワイズかどうかは関係ありません）

stru例えば、 JWT）のアクセストークンを使用すると、（検証された）トークン自体から実際にサブジェクトを検索できます。しかし、その場合でも、正しい主題が常にトークンにあるので、公の主語からペアワイズに計算する必要は決してありません（逆も可能ではありません）。