實施Open ID Connect隱式流時，如何最好地存儲共享密鑰？

Question

我正在使用'隱式流程'作爲依賴方實施Open Id Connect。我們使用基於HS256 MAC的算法進行簽名。

作爲此實施的一部分，我們需要生成與雙方共享的共享密鑰或密鑰。

將此共享密鑰存儲在我們的數據庫中而不散列它是否安全？通常情況下，我們會散列並加密一個密碼或API密鑰，但似乎在Open Id Connect中指定的「隱式流」中絕不會通過線傳送祕密，因此我們需要始終能夠再次檢索它。

這種情況下的最佳做法是什麼？

Answer 1

據我所知，如果你已經實現了隱式流，你正在使用一個公共客戶端。

在公開ID連接規範you can read in 10.1：對稱簽名不得由公衆（非保密）客戶使用，因爲他們無法保守祕密。

在這種情況下，您必須使用使用非對稱密鑰（RSA或EDCSA）的簽名算法。