Sie können einen OpenID Connect-Provider so konfigurieren, dass er den
Algorithmus RS256 zum Signieren von ID-Token verwendet.
Informationen zu diesem Vorgang
Setzen Sie
signatureAlgorithm auf und konfigurieren Sie einen Keystore mit dem zum Signieren verwendeten privaten Schlüssel. So konfigurieren Sie
einen OpenID Connect-Provider für die Verwendung des Signaturalgorithmus RS256 zum Signieren von ID-Token.
Vorgehensweise
- Setzen Sie das OpenID Connect-Provider-Attribut signatureAlgorithm auf
RS256.
- Sie können den Liberty-OpenID-Connect-Provider so konfigurieren, dass ID-Token mit einem X509-Zertifikat in einem
physischen Keystore oder mit einem selbstgenerierten RSA-Schlüsselpaar, das in regelmäßigen Abständen neu generiert wird,
signiert werden und ein öffentlicher Schlüssel an der JWK in jwks_uri-Position veröffentlicht wird.
- Optional: X509-Zertifikat
Erstellen Sie in der Datei
server.xml ein keystore-Element, das auf den physischen
Keystore mit dem privaten Schlüssel verweist, der einen Signaturalgorithmus
RSA-SHA256 ausführen kann. Beispiel:
<keyStore id="opTestKeyStore" location="${server.config.dir}/opKeyStore.jks" type="JKS" password="keystorePwd" />
Setzen Sie das Attribut
keyStoreRef auf den id-Wert des keystore-Elements, das in Schritt 1 verwendet wird,
und setzen Sie
keyAliasName so, dass der private Schlüssel im Keystore gefunden wird, z. B.:
<openidConnectProvider id="OAuthConfigSample" oauthProviderRef="OAuthConfigSample" signatureAlgorithm="RS256" keyStoreRef="opTestKeyStore" keyAliasName="myOpKeyAlias" />
- Optional: JWK
Fügen Sie jwkEnabled="true" hinzu, damit dynamisch ein Signierschlüsselpaar generiert und ein öffentlicher Schlüssel in
JWK veröffentlicht wird. Das Schlüsselpaar wird standardmäßig alle 12 Stunden neu generiert. Mit jwkRotationTime
können Sie das Intervall ändern.
Ergebnisse
Sie haben einen OpenID Connect-Provider für das Signieren von ID-Token mit
RSA-SHA256 konfiguriert.