在OpenID Connect spec azp(授權方)聲稱似乎有矛盾。OpenID連接標準:授權方azp矛盾
在ID令牌定義部分2它說:
AZP
可選。授權方 - 身份證代幣簽發方。如果存在,它必須包含該方的OAuth 2.0客戶端ID。 只有當ID令牌具有單個觀衆值並且觀衆不同於授權方時,才需要此索賠。這可能是包括即使被授權人是一樣作爲唯一的聽衆......
但令牌驗證部分3.1.3.7,步驟之一似乎是說正好相反:
- 如果ID令牌包含多個受衆,則客戶端應確認存在azp聲明。
任何人都可以看到這種明顯的差異?只有第二個實例使用聲明性語言,所以我傾向於在我的實現中傾向於這一點。
謝謝!特別是OIDC問題跟蹤器。不知道。 – joshperry