ID 토큰 서명을 위해 RS256 알고리즘을 사용하도록 OpenID
Connect 제공자를 구성할 수 있습니다.
이 태스크 정보
signatureAlgorithm을 RS256으로 설정하고 서명에 사용되는
개인 키로 키 저장소를 구성하여 ID 토큰 서명을 위해 RSA-SHA256 서명 알고리즘을
사용하도록 OpenID Connect 제공자를 구성할 수 있습니다.
프로시저
- OpenID Connect 제공자 signatureAlgorithm 속성을
RS256으로 설정하십시오.
- 실제 키 저장소의 X509 인증서 또는 주기적으로 재생성되고 공개 키를
jwks_uri의 JWK 위치에 공개되는 자체 생성된 RSA 키 쌍을
갖는 ID 토큰으로 시작하도록 Liberty OP를 구성할 수 있습니다.
- 선택사항: X509 인증서
server.xml 파일에서 RSA-SHA256 서명 알고리즘을
수행할 수 있는 개인 키가 포함된 실제 키 저장소를 참조하는 키 저장소
요소를 작성하십시오. 예:
<keyStore id="opTestKeyStore" location="${server.config.dir}/opKeyStore.jks" type="JKS" password="keystorePwd" />
keyStoreRef 속성을 1단계에서 사용되는 키 저장소 요소의 ID 값으로 설정하고
키 저장소에서 개인 키를 찾도록
keyAliasName을 설정하십시오.
예를 들어 다음과 같습니다.
<openidConnectProvider id="OAuthConfigSample" oauthProviderRef="OAuthConfigSample" signatureAlgorithm="RS256" keyStoreRef="opTestKeyStore" keyAliasName="myOpKeyAlias" />
- 선택사항: JWK
서명 키 쌍을 동적으로 생성하고 공개 키를 JWK에 공개하려면,
jwkEnabled="true"를 추가합니다. 키 쌍은 12시간마다 재생성되며
jwkRotationTime을 구성하여 빈도를 수정할 수 있습니다.
결과
이제 RSA-SHA256을 사용한 ID 토큰 서명을 위해 OpenID Connect
제공자를 구성했습니다.