クライアント側のIDトークンの確認

Question

私は実装に取り​​組んでいますOAuth 2.0複数のアプリに必要なログイン資格情報を減らす必要があります。しかし、私はOpenID Connectの上にのOAuth 2.0を理解することに苦労しています。どのように私は与えられたJWTトークンを検証することになっています。クライアントが署名をチェックできるように、公開鍵を実際のトークンの内部で提供する必要がありますか？

また、私が間違っていれば私を修正しますが、このトークンはリソースサーバーに送信されることはありませんが、クライアントが指定された情報に基づいてユーザーに正しい出力を提供する "援助の手"トークン？もしそうなら、各タイプの情報にはどのような基準が含まれていなければなりませんか？

Answer 1

IDトークンは、成功したトークンレスポンス（通常はJWT）の後に送信されます。

IDトークン検証は、3.1.3.7項で説明しています。 IDトークン検証。

IDトークンsecured with the RSA or EC signature（たとえばRS256）では、IdPの公開JSON Webキー（JWK）セットが必要です。 jwks_uriパラメータのOpenID Provider’s metadata]で宣伝されているURLに簡単なJSONドキュメントとして公開されています。 Google’s JSON Web Key (JWK)をチェックして、JWKセットのようなものを確認することができます。

ID tokens secured with an HMAC（例：HS256）では、client_secretを使用して検証を実行します。