在现代身份认证体系中,OpenID Connect(OIDC,构建于 OAuth 2.0 之上的身份层)已成为联合登录的事实标准。当一个客户端要接入身份提供方时,最优雅的方式不是把一堆端点地址硬编码进配置文件,而是只告诉它一个地址------issuer,剩下的全部自动发现。这背后的核心机制,就是 Discovery 端点 /.well-known/openid-configuration。
本文从这个端点出发,逐层展开:它如何让客户端零配置接入、如何支撑多身份源的联合登录、令牌签名如何通过公钥验证、密钥如何平滑轮换,以及------最容易被忽视却最关键的------issuer 三重匹配如何构筑起一条不可伪造的信任链。
一、Discovery 端点:身份提供方的「自我介绍」
1.1 它解决什么问题
设想没有 Discovery 的世界:每个客户端(RP,Relying Party,依赖方)都要手动配置授权端点、令牌端点、用户信息端点、公钥地址......一旦身份提供方(OP,OpenID Provider)调整了任何一个 URL,所有接入方的硬编码配置同时失效。
Discovery 端点把这一切收敛为一个动作:客户端只需知道 issuer,按固定规则拼出元数据地址,一次请求拿回全部配置。
{issuer} + /.well-known/openid-configuration
= https://accounts.example.com/.well-known/openid-configuration1.2 返回了什么
该端点返回一份 JSON 元数据文档,描述 OP 的全部端点与能力:
| 字段 | 含义 |
|---|---|
issuer |
签发者标识,信任链的根锚点 |
authorization_endpoint |
授权端点,用户在此登录授权 |
token_endpoint |
令牌端点,用授权码换取令牌 |
userinfo_endpoint |
用户信息端点 |
jwks_uri |
公钥集合地址,验证令牌签名的根基 |
end_session_endpoint |
登出端点 |
response_types_supported |
支持的响应类型(如 code) |
scopes_supported |
支持的 scope(如 openid、profile、email) |
id_token_signing_alg_values_supported |
ID Token 签名算法(如 RS256) |
code_challenge_methods_supported |
支持的 PKCE(Proof Key for Code Exchange)方法 |
claims_supported |
支持返回的 Claim 列表 |
1.3 典型使用场景
- 客户端零配置接入 :只配
issuer,端点全部动态拉取。 - 令牌验证准备 :资源服务器借
jwks_uri获取公钥验证 JWT 签名。 - 能力协商 :客户端读
*_supported字段,判断 OP 是否支持 PKCE、特定算法。 - SDK 自动初始化 :主流库(如 .NET 的
Microsoft.AspNetCore.Authentication.OpenIdConnect)配置Authority后会自动请求该端点完成初始化。
二、多 OP 联合登录:一个客户端,多个身份源
2.1 概念
多 OP 联合登录指一个客户端同时信任并对接多个身份提供方,由用户自己选择用哪个身份登录。登录页上的「用 Google 登录 / 用企业账号登录」就是它最直观的样子。
2.2 使用场景
- 第三方社交登录:同时支持 Google、Apple、微信等多个 OP。
- 企业多租户 SaaS:不同客户企业各用自己的 IdP,按租户标识路由------租户 A 用 Azure AD,租户 B 用 Okta。
- B2B 联合身份:接受合作伙伴各自身份系统签发的身份。
- 身份代理 / 网关:中间层(如 Keycloak、Auth0)聚合多个 OP,对下游应用只暴露统一入口。
2.3 执行流程
OP-B (企业IdP) OP-A (Google) 客户端 (RP) 用户 OP-B (企业IdP) OP-A (Google) 客户端 (RP) 用户 #mermaid-svg-IgXmNQ6Xd4R2SZVY{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}@keyframes edge-animation-frame{from{stroke-dashoffset:0;}}@keyframes dash{to{stroke-dashoffset:0;}}#mermaid-svg-IgXmNQ6Xd4R2SZVY .edge-animation-slow{stroke-dasharray:9,5!important;stroke-dashoffset:900;animation:dash 50s linear infinite;stroke-linecap:round;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .edge-animation-fast{stroke-dasharray:9,5!important;stroke-dashoffset:900;animation:dash 20s linear infinite;stroke-linecap:round;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .error-icon{fill:#552222;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .error-text{fill:#552222;stroke:#552222;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .edge-thickness-normal{stroke-width:1px;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .edge-thickness-thick{stroke-width:3.5px;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .edge-pattern-solid{stroke-dasharray:0;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .edge-thickness-invisible{stroke-width:0;fill:none;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .edge-pattern-dashed{stroke-dasharray:3;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .edge-pattern-dotted{stroke-dasharray:2;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .marker{fill:#333333;stroke:#333333;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .marker.cross{stroke:#333333;}#mermaid-svg-IgXmNQ6Xd4R2SZVY svg{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;}#mermaid-svg-IgXmNQ6Xd4R2SZVY p{margin:0;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .actor{stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:#ECECFF;}#mermaid-svg-IgXmNQ6Xd4R2SZVY text.actor>tspan{fill:black;stroke:none;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .actor-line{stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);}#mermaid-svg-IgXmNQ6Xd4R2SZVY .innerArc{stroke-width:1.5;stroke-dasharray:none;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .messageLine0{stroke-width:1.5;stroke-dasharray:none;stroke:#333;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .messageLine1{stroke-width:1.5;stroke-dasharray:2,2;stroke:#333;}#mermaid-svg-IgXmNQ6Xd4R2SZVY #arrowhead path{fill:#333;stroke:#333;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .sequenceNumber{fill:white;}#mermaid-svg-IgXmNQ6Xd4R2SZVY #sequencenumber{fill:#333;}#mermaid-svg-IgXmNQ6Xd4R2SZVY #crosshead path{fill:#333;stroke:#333;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .messageText{fill:#333;stroke:none;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .labelBox{stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:#ECECFF;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .labelText,#mermaid-svg-IgXmNQ6Xd4R2SZVY .labelText>tspan{fill:black;stroke:none;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .loopText,#mermaid-svg-IgXmNQ6Xd4R2SZVY .loopText>tspan{fill:black;stroke:none;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .loopLine{stroke-width:2px;stroke-dasharray:2,2;stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);}#mermaid-svg-IgXmNQ6Xd4R2SZVY .note{stroke:#aaaa33;fill:#fff5ad;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .noteText,#mermaid-svg-IgXmNQ6Xd4R2SZVY .noteText>tspan{fill:black;stroke:none;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .activation0{fill:#f4f4f4;stroke:#666;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .activation1{fill:#f4f4f4;stroke:#666;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .activation2{fill:#f4f4f4;stroke:#666;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .actorPopupMenu{position:absolute;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .actorPopupMenuPanel{position:absolute;fill:#ECECFF;box-shadow:0px 8px 16px 0px rgba(0,0,0,0.2);filter:drop-shadow(3px 5px 2px rgb(0 0 0 / 0.4));}#mermaid-svg-IgXmNQ6Xd4R2SZVY .actor-man line{stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:#ECECFF;}#mermaid-svg-IgXmNQ6Xd4R2SZVY .actor-man circle,#mermaid-svg-IgXmNQ6Xd4R2SZVY line{stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:#ECECFF;stroke-width:2px;}#mermaid-svg-IgXmNQ6Xd4R2SZVY :root{--mermaid-font-family:"trebuchet ms",verdana,arial,sans-serif;} 取出 OP-B 的 issuer 用 OP-B 的 jwks_uri 验签核对 iss = OP-B issuer 访问登录页展示多个登录选项选择 "OP-B 登录"GET {OP-B issuer}/.well-known/openid-configurationOP-B 端点与元数据 (含 jwks_uri)重定向到 OP-B authorization_endpointOP-B 登录页完成认证回调返回 authorization codetoken_endpoint 换取 ID Token登录成功
2.4 关键原则
每个 OP 各有一套独立的 Discovery 文档、端点和密钥 。RP 必须为每个 OP 单独维护配置,验证时使用对应那个 OP 的公钥 验签、核对 iss 是否等于那个 OP 的 issuer。绝不能用 OP-A 的公钥去验 OP-B 的令牌------否则就为后文要讲的 IdP 混淆攻击敞开了大门。
三、令牌签名验证:jwks_uri 与非对称密钥
3.1 jwks_uri 校验什么
jwks_uri 提供 OP 的签名公钥,用于验证由该 OP 签发的 JWT(JSON Web Token)类令牌:
- ID Token :OIDC 规定其必然 是 JWT,一定用
jwks_uri的公钥验签。 - Access Token :OAuth 2.0 未规定 其格式,分两种情况:
- JWT 格式 :通常也用同一个
jwks_uri的公钥验签,资源服务器可本地验证。 - 不透明字符串(opaque token):仅一串随机 ID,无签名,无法用公钥验证,只能通过 OP 的 Introspection 端点(RFC 7662)在线查询有效性。
- JWT 格式 :通常也用同一个
3.2 公钥与私钥的关系
这里采用的是非对称签名 (如 RS256、ES256),公钥与私钥是一对配对但不相同的密钥:
#mermaid-svg-5LuPNanzVBsRJX6S{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}@keyframes edge-animation-frame{from{stroke-dashoffset:0;}}@keyframes dash{to{stroke-dashoffset:0;}}#mermaid-svg-5LuPNanzVBsRJX6S .edge-animation-slow{stroke-dasharray:9,5!important;stroke-dashoffset:900;animation:dash 50s linear infinite;stroke-linecap:round;}#mermaid-svg-5LuPNanzVBsRJX6S .edge-animation-fast{stroke-dasharray:9,5!important;stroke-dashoffset:900;animation:dash 20s linear infinite;stroke-linecap:round;}#mermaid-svg-5LuPNanzVBsRJX6S .error-icon{fill:#552222;}#mermaid-svg-5LuPNanzVBsRJX6S .error-text{fill:#552222;stroke:#552222;}#mermaid-svg-5LuPNanzVBsRJX6S .edge-thickness-normal{stroke-width:1px;}#mermaid-svg-5LuPNanzVBsRJX6S .edge-thickness-thick{stroke-width:3.5px;}#mermaid-svg-5LuPNanzVBsRJX6S .edge-pattern-solid{stroke-dasharray:0;}#mermaid-svg-5LuPNanzVBsRJX6S .edge-thickness-invisible{stroke-width:0;fill:none;}#mermaid-svg-5LuPNanzVBsRJX6S .edge-pattern-dashed{stroke-dasharray:3;}#mermaid-svg-5LuPNanzVBsRJX6S .edge-pattern-dotted{stroke-dasharray:2;}#mermaid-svg-5LuPNanzVBsRJX6S .marker{fill:#333333;stroke:#333333;}#mermaid-svg-5LuPNanzVBsRJX6S .marker.cross{stroke:#333333;}#mermaid-svg-5LuPNanzVBsRJX6S svg{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;}#mermaid-svg-5LuPNanzVBsRJX6S p{margin:0;}#mermaid-svg-5LuPNanzVBsRJX6S .label{font-family:"trebuchet ms",verdana,arial,sans-serif;color:#333;}#mermaid-svg-5LuPNanzVBsRJX6S .cluster-label text{fill:#333;}#mermaid-svg-5LuPNanzVBsRJX6S .cluster-label span{color:#333;}#mermaid-svg-5LuPNanzVBsRJX6S .cluster-label span p{background-color:transparent;}#mermaid-svg-5LuPNanzVBsRJX6S .label text,#mermaid-svg-5LuPNanzVBsRJX6S span{fill:#333;color:#333;}#mermaid-svg-5LuPNanzVBsRJX6S .node rect,#mermaid-svg-5LuPNanzVBsRJX6S .node circle,#mermaid-svg-5LuPNanzVBsRJX6S .node ellipse,#mermaid-svg-5LuPNanzVBsRJX6S .node polygon,#mermaid-svg-5LuPNanzVBsRJX6S .node path{fill:#ECECFF;stroke:#9370DB;stroke-width:1px;}#mermaid-svg-5LuPNanzVBsRJX6S .rough-node .label text,#mermaid-svg-5LuPNanzVBsRJX6S .node .label text,#mermaid-svg-5LuPNanzVBsRJX6S .image-shape .label,#mermaid-svg-5LuPNanzVBsRJX6S .icon-shape .label{text-anchor:middle;}#mermaid-svg-5LuPNanzVBsRJX6S .node .katex path{fill:#000;stroke:#000;stroke-width:1px;}#mermaid-svg-5LuPNanzVBsRJX6S .rough-node .label,#mermaid-svg-5LuPNanzVBsRJX6S .node .label,#mermaid-svg-5LuPNanzVBsRJX6S .image-shape .label,#mermaid-svg-5LuPNanzVBsRJX6S .icon-shape .label{text-align:center;}#mermaid-svg-5LuPNanzVBsRJX6S .node.clickable{cursor:pointer;}#mermaid-svg-5LuPNanzVBsRJX6S .root .anchor path{fill:#333333!important;stroke-width:0;stroke:#333333;}#mermaid-svg-5LuPNanzVBsRJX6S .arrowheadPath{fill:#333333;}#mermaid-svg-5LuPNanzVBsRJX6S .edgePath .path{stroke:#333333;stroke-width:2.0px;}#mermaid-svg-5LuPNanzVBsRJX6S .flowchart-link{stroke:#333333;fill:none;}#mermaid-svg-5LuPNanzVBsRJX6S .edgeLabel{background-color:rgba(232,232,232, 0.8);text-align:center;}#mermaid-svg-5LuPNanzVBsRJX6S .edgeLabel p{background-color:rgba(232,232,232, 0.8);}#mermaid-svg-5LuPNanzVBsRJX6S .edgeLabel rect{opacity:0.5;background-color:rgba(232,232,232, 0.8);fill:rgba(232,232,232, 0.8);}#mermaid-svg-5LuPNanzVBsRJX6S .labelBkg{background-color:rgba(232, 232, 232, 0.5);}#mermaid-svg-5LuPNanzVBsRJX6S .cluster rect{fill:#ffffde;stroke:#aaaa33;stroke-width:1px;}#mermaid-svg-5LuPNanzVBsRJX6S .cluster text{fill:#333;}#mermaid-svg-5LuPNanzVBsRJX6S .cluster span{color:#333;}#mermaid-svg-5LuPNanzVBsRJX6S div.mermaidTooltip{position:absolute;text-align:center;max-width:200px;padding:2px;font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:12px;background:hsl(80, 100%, 96.2745098039%);border:1px solid #aaaa33;border-radius:2px;pointer-events:none;z-index:100;}#mermaid-svg-5LuPNanzVBsRJX6S .flowchartTitleText{text-anchor:middle;font-size:18px;fill:#333;}#mermaid-svg-5LuPNanzVBsRJX6S rect.text{fill:none;stroke-width:0;}#mermaid-svg-5LuPNanzVBsRJX6S .icon-shape,#mermaid-svg-5LuPNanzVBsRJX6S .image-shape{background-color:rgba(232,232,232, 0.8);text-align:center;}#mermaid-svg-5LuPNanzVBsRJX6S .icon-shape p,#mermaid-svg-5LuPNanzVBsRJX6S .image-shape p{background-color:rgba(232,232,232, 0.8);padding:2px;}#mermaid-svg-5LuPNanzVBsRJX6S .icon-shape .label rect,#mermaid-svg-5LuPNanzVBsRJX6S .image-shape .label rect{opacity:0.5;background-color:rgba(232,232,232, 0.8);fill:rgba(232,232,232, 0.8);}#mermaid-svg-5LuPNanzVBsRJX6S .label-icon{display:inline-block;height:1em;overflow:visible;vertical-align:-0.125em;}#mermaid-svg-5LuPNanzVBsRJX6S .node .label-icon path{fill:currentColor;stroke:revert;stroke-width:revert;}#mermaid-svg-5LuPNanzVBsRJX6S :root{--mermaid-font-family:"trebuchet ms",verdana,arial,sans-serif;} 签名
传输
验签
OP 私钥
(仅 OP 持有, 绝不外泄)
JWT 令牌
RP / 资源服务器
公钥
(经 jwks_uri 公开)
签名有效?
这正是非对称密码学的价值所在:任何人都能验证签名真伪,但只有持有私钥的 OP 能签出有效签名。
对称算法的例外 :若使用 HS256,签名与验证共用同一把密钥,此时绝不会公开在
jwks_uri上(公开即泄露),通常只用于 client secret 已共享的内部场景。公开 Discovery 的场景下基本都用非对称算法。
3.3 JWKS 返回的是所有公钥
jwks_uri 返回一个 JWKS(JSON Web Key Set) ,即一个密钥数组 ,通常包含多把公钥------这是为了支撑**密钥轮换(Key Rotation)**的平滑过渡。
json
{
"keys": [
{ "kid": "key-2026-new", "kty": "RSA", "use": "sig", "n": "...", "e": "AQAB" },
{ "kid": "key-2025-old", "kty": "RSA", "use": "sig", "n": "...", "e": "AQAB" }
]
}轮换期间新旧密钥并存的原因:
- OP 已开始用新私钥签发新令牌;
- 但之前用旧私钥签发、尚未过期的令牌仍在流通;
- 资源服务器必须能验证新旧两种令牌,因此
jwks_uri需同时暴露新旧公钥。
验签匹配方式 :每个 JWT 的头部携带 kid(Key ID)字段,资源服务器读取 kid,在 JWKS 数组中找到相同 kid 的公钥来验签。等旧密钥签发的令牌全部过期后,OP 才会从 JWKS 中移除旧公钥。
四、信任链的核心:issuer 三重匹配
这是整个体系中最关键也最易被忽视的安全约束------防止「OP 冒充 / 端点伪造」。它要求三个值首尾严格相等。
4.1 第一层:Discovery 文档的 issuer ⟷ 请求的基地址
你向 https://accounts.example.com/.well-known/openid-configuration 请求,拿回文档:
json
{ "issuer": "https://accounts.example.com", ... }规范要求:返回文档里的 issuer,去掉 /.well-known/openid-configuration 后,必须等于你请求时使用的基地址。
- 请求基地址:
https://accounts.example.com - 返回 issuer:
https://accounts.example.com✅
若返回的是 https://evil.com,说明文档不可信(可能被篡改),必须拒绝------否则其中的 authorization_endpoint、token_endpoint 可能被偷偷指向钓鱼服务器。
4.2 第二层:ID Token 的 iss ⟷ Discovery 的 issuer
每次登录拿到的 ID Token,其 payload 含 iss 字段:
json
{ "iss": "https://accounts.example.com", "sub": "user123", ... }RP 必须校验:ID Token 的 iss 等于你所信任的那个 OP 的 issuer。
4.3 完整信任链
#mermaid-svg-NTBmiS4IPqB5W5De{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}@keyframes edge-animation-frame{from{stroke-dashoffset:0;}}@keyframes dash{to{stroke-dashoffset:0;}}#mermaid-svg-NTBmiS4IPqB5W5De .edge-animation-slow{stroke-dasharray:9,5!important;stroke-dashoffset:900;animation:dash 50s linear infinite;stroke-linecap:round;}#mermaid-svg-NTBmiS4IPqB5W5De .edge-animation-fast{stroke-dasharray:9,5!important;stroke-dashoffset:900;animation:dash 20s linear infinite;stroke-linecap:round;}#mermaid-svg-NTBmiS4IPqB5W5De .error-icon{fill:#552222;}#mermaid-svg-NTBmiS4IPqB5W5De .error-text{fill:#552222;stroke:#552222;}#mermaid-svg-NTBmiS4IPqB5W5De .edge-thickness-normal{stroke-width:1px;}#mermaid-svg-NTBmiS4IPqB5W5De .edge-thickness-thick{stroke-width:3.5px;}#mermaid-svg-NTBmiS4IPqB5W5De .edge-pattern-solid{stroke-dasharray:0;}#mermaid-svg-NTBmiS4IPqB5W5De .edge-thickness-invisible{stroke-width:0;fill:none;}#mermaid-svg-NTBmiS4IPqB5W5De .edge-pattern-dashed{stroke-dasharray:3;}#mermaid-svg-NTBmiS4IPqB5W5De .edge-pattern-dotted{stroke-dasharray:2;}#mermaid-svg-NTBmiS4IPqB5W5De .marker{fill:#333333;stroke:#333333;}#mermaid-svg-NTBmiS4IPqB5W5De .marker.cross{stroke:#333333;}#mermaid-svg-NTBmiS4IPqB5W5De svg{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;}#mermaid-svg-NTBmiS4IPqB5W5De p{margin:0;}#mermaid-svg-NTBmiS4IPqB5W5De .label{font-family:"trebuchet ms",verdana,arial,sans-serif;color:#333;}#mermaid-svg-NTBmiS4IPqB5W5De .cluster-label text{fill:#333;}#mermaid-svg-NTBmiS4IPqB5W5De .cluster-label span{color:#333;}#mermaid-svg-NTBmiS4IPqB5W5De .cluster-label span p{background-color:transparent;}#mermaid-svg-NTBmiS4IPqB5W5De .label text,#mermaid-svg-NTBmiS4IPqB5W5De span{fill:#333;color:#333;}#mermaid-svg-NTBmiS4IPqB5W5De .node rect,#mermaid-svg-NTBmiS4IPqB5W5De .node circle,#mermaid-svg-NTBmiS4IPqB5W5De .node ellipse,#mermaid-svg-NTBmiS4IPqB5W5De .node polygon,#mermaid-svg-NTBmiS4IPqB5W5De .node path{fill:#ECECFF;stroke:#9370DB;stroke-width:1px;}#mermaid-svg-NTBmiS4IPqB5W5De .rough-node .label text,#mermaid-svg-NTBmiS4IPqB5W5De .node .label text,#mermaid-svg-NTBmiS4IPqB5W5De .image-shape .label,#mermaid-svg-NTBmiS4IPqB5W5De .icon-shape .label{text-anchor:middle;}#mermaid-svg-NTBmiS4IPqB5W5De .node .katex path{fill:#000;stroke:#000;stroke-width:1px;}#mermaid-svg-NTBmiS4IPqB5W5De .rough-node .label,#mermaid-svg-NTBmiS4IPqB5W5De .node .label,#mermaid-svg-NTBmiS4IPqB5W5De .image-shape .label,#mermaid-svg-NTBmiS4IPqB5W5De .icon-shape .label{text-align:center;}#mermaid-svg-NTBmiS4IPqB5W5De .node.clickable{cursor:pointer;}#mermaid-svg-NTBmiS4IPqB5W5De .root .anchor path{fill:#333333!important;stroke-width:0;stroke:#333333;}#mermaid-svg-NTBmiS4IPqB5W5De .arrowheadPath{fill:#333333;}#mermaid-svg-NTBmiS4IPqB5W5De .edgePath .path{stroke:#333333;stroke-width:2.0px;}#mermaid-svg-NTBmiS4IPqB5W5De .flowchart-link{stroke:#333333;fill:none;}#mermaid-svg-NTBmiS4IPqB5W5De .edgeLabel{background-color:rgba(232,232,232, 0.8);text-align:center;}#mermaid-svg-NTBmiS4IPqB5W5De .edgeLabel p{background-color:rgba(232,232,232, 0.8);}#mermaid-svg-NTBmiS4IPqB5W5De .edgeLabel rect{opacity:0.5;background-color:rgba(232,232,232, 0.8);fill:rgba(232,232,232, 0.8);}#mermaid-svg-NTBmiS4IPqB5W5De .labelBkg{background-color:rgba(232, 232, 232, 0.5);}#mermaid-svg-NTBmiS4IPqB5W5De .cluster rect{fill:#ffffde;stroke:#aaaa33;stroke-width:1px;}#mermaid-svg-NTBmiS4IPqB5W5De .cluster text{fill:#333;}#mermaid-svg-NTBmiS4IPqB5W5De .cluster span{color:#333;}#mermaid-svg-NTBmiS4IPqB5W5De div.mermaidTooltip{position:absolute;text-align:center;max-width:200px;padding:2px;font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:12px;background:hsl(80, 100%, 96.2745098039%);border:1px solid #aaaa33;border-radius:2px;pointer-events:none;z-index:100;}#mermaid-svg-NTBmiS4IPqB5W5De .flowchartTitleText{text-anchor:middle;font-size:18px;fill:#333;}#mermaid-svg-NTBmiS4IPqB5W5De rect.text{fill:none;stroke-width:0;}#mermaid-svg-NTBmiS4IPqB5W5De .icon-shape,#mermaid-svg-NTBmiS4IPqB5W5De .image-shape{background-color:rgba(232,232,232, 0.8);text-align:center;}#mermaid-svg-NTBmiS4IPqB5W5De .icon-shape p,#mermaid-svg-NTBmiS4IPqB5W5De .image-shape p{background-color:rgba(232,232,232, 0.8);padding:2px;}#mermaid-svg-NTBmiS4IPqB5W5De .icon-shape .label rect,#mermaid-svg-NTBmiS4IPqB5W5De .image-shape .label rect{opacity:0.5;background-color:rgba(232,232,232, 0.8);fill:rgba(232,232,232, 0.8);}#mermaid-svg-NTBmiS4IPqB5W5De .label-icon{display:inline-block;height:1em;overflow:visible;vertical-align:-0.125em;}#mermaid-svg-NTBmiS4IPqB5W5De .node .label-icon path{fill:currentColor;stroke:revert;stroke-width:revert;}#mermaid-svg-NTBmiS4IPqB5W5De :root{--mermaid-font-family:"trebuchet ms",verdana,arial,sans-serif;} 必须相等
必须相等
任一环不匹配
任一环不匹配
任一环不匹配
① 请求的基地址
https://accounts.example.com
② Discovery 的 issuer
https://accounts.example.com
③ ID Token 的 iss
https://accounts.example.com
拒绝, 终止流程
① 请求的基地址 == ② Discovery 文档的 issuer == ③ ID Token 的 iss4.4 为什么在多 OP 场景下尤为重要
假设你同时接入 OP-A 和 OP-B。攻击者可能持有一个 OP-A 签发的合法令牌,试图在 OP-B 的登录流程中冒用。如果不核对 iss,系统就可能把 A 的身份当作 B 的身份接受,造成 IdP 混淆攻击(IdP Mix-Up Attack)。
三重匹配的本质,是把「我以为在跟谁通信」与「令牌实际由谁签发」锁死成同一个身份。任何一环对不上,立即拒绝。
五、端到端全景流程
把以上各部分串起来,一次完整的发现---登录---验证流程如下:
资源服务器 OpenID Provider 客户端 (RP) 资源服务器 OpenID Provider 客户端 (RP) #mermaid-svg-Cys4L4hksU1LPDXU{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}@keyframes edge-animation-frame{from{stroke-dashoffset:0;}}@keyframes dash{to{stroke-dashoffset:0;}}#mermaid-svg-Cys4L4hksU1LPDXU .edge-animation-slow{stroke-dasharray:9,5!important;stroke-dashoffset:900;animation:dash 50s linear infinite;stroke-linecap:round;}#mermaid-svg-Cys4L4hksU1LPDXU .edge-animation-fast{stroke-dasharray:9,5!important;stroke-dashoffset:900;animation:dash 20s linear infinite;stroke-linecap:round;}#mermaid-svg-Cys4L4hksU1LPDXU .error-icon{fill:#552222;}#mermaid-svg-Cys4L4hksU1LPDXU .error-text{fill:#552222;stroke:#552222;}#mermaid-svg-Cys4L4hksU1LPDXU .edge-thickness-normal{stroke-width:1px;}#mermaid-svg-Cys4L4hksU1LPDXU .edge-thickness-thick{stroke-width:3.5px;}#mermaid-svg-Cys4L4hksU1LPDXU .edge-pattern-solid{stroke-dasharray:0;}#mermaid-svg-Cys4L4hksU1LPDXU .edge-thickness-invisible{stroke-width:0;fill:none;}#mermaid-svg-Cys4L4hksU1LPDXU .edge-pattern-dashed{stroke-dasharray:3;}#mermaid-svg-Cys4L4hksU1LPDXU .edge-pattern-dotted{stroke-dasharray:2;}#mermaid-svg-Cys4L4hksU1LPDXU .marker{fill:#333333;stroke:#333333;}#mermaid-svg-Cys4L4hksU1LPDXU .marker.cross{stroke:#333333;}#mermaid-svg-Cys4L4hksU1LPDXU svg{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;}#mermaid-svg-Cys4L4hksU1LPDXU p{margin:0;}#mermaid-svg-Cys4L4hksU1LPDXU .actor{stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:#ECECFF;}#mermaid-svg-Cys4L4hksU1LPDXU text.actor>tspan{fill:black;stroke:none;}#mermaid-svg-Cys4L4hksU1LPDXU .actor-line{stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);}#mermaid-svg-Cys4L4hksU1LPDXU .innerArc{stroke-width:1.5;stroke-dasharray:none;}#mermaid-svg-Cys4L4hksU1LPDXU .messageLine0{stroke-width:1.5;stroke-dasharray:none;stroke:#333;}#mermaid-svg-Cys4L4hksU1LPDXU .messageLine1{stroke-width:1.5;stroke-dasharray:2,2;stroke:#333;}#mermaid-svg-Cys4L4hksU1LPDXU #arrowhead path{fill:#333;stroke:#333;}#mermaid-svg-Cys4L4hksU1LPDXU .sequenceNumber{fill:white;}#mermaid-svg-Cys4L4hksU1LPDXU #sequencenumber{fill:#333;}#mermaid-svg-Cys4L4hksU1LPDXU #crosshead path{fill:#333;stroke:#333;}#mermaid-svg-Cys4L4hksU1LPDXU .messageText{fill:#333;stroke:none;}#mermaid-svg-Cys4L4hksU1LPDXU .labelBox{stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:#ECECFF;}#mermaid-svg-Cys4L4hksU1LPDXU .labelText,#mermaid-svg-Cys4L4hksU1LPDXU .labelText>tspan{fill:black;stroke:none;}#mermaid-svg-Cys4L4hksU1LPDXU .loopText,#mermaid-svg-Cys4L4hksU1LPDXU .loopText>tspan{fill:black;stroke:none;}#mermaid-svg-Cys4L4hksU1LPDXU .loopLine{stroke-width:2px;stroke-dasharray:2,2;stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);}#mermaid-svg-Cys4L4hksU1LPDXU .note{stroke:#aaaa33;fill:#fff5ad;}#mermaid-svg-Cys4L4hksU1LPDXU .noteText,#mermaid-svg-Cys4L4hksU1LPDXU .noteText>tspan{fill:black;stroke:none;}#mermaid-svg-Cys4L4hksU1LPDXU .activation0{fill:#f4f4f4;stroke:#666;}#mermaid-svg-Cys4L4hksU1LPDXU .activation1{fill:#f4f4f4;stroke:#666;}#mermaid-svg-Cys4L4hksU1LPDXU .activation2{fill:#f4f4f4;stroke:#666;}#mermaid-svg-Cys4L4hksU1LPDXU .actorPopupMenu{position:absolute;}#mermaid-svg-Cys4L4hksU1LPDXU .actorPopupMenuPanel{position:absolute;fill:#ECECFF;box-shadow:0px 8px 16px 0px rgba(0,0,0,0.2);filter:drop-shadow(3px 5px 2px rgb(0 0 0 / 0.4));}#mermaid-svg-Cys4L4hksU1LPDXU .actor-man line{stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:#ECECFF;}#mermaid-svg-Cys4L4hksU1LPDXU .actor-man circle,#mermaid-svg-Cys4L4hksU1LPDXU line{stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:#ECECFF;stroke-width:2px;}#mermaid-svg-Cys4L4hksU1LPDXU :root{--mermaid-font-family:"trebuchet ms",verdana,arial,sans-serif;} 阶段一 发现 (启动时 / 缓存过期时) 校验 issuer == 请求基地址 缓存元数据与公钥 阶段二 登录 (Auth Code + PKCE) 按 kid 取公钥验签校验 iss / aud / exp 阶段三 访问资源 JWT则本地验签opaque则调用 Introspection GET {issuer}/.well-known/openid-configuration200 元数据 (端点 + 能力)GET {jwks_uri}200 JWKS (公钥集合)重定向至 authorization_endpoint回调返回 authorization codePOST token_endpoint (code 换 token)ID Token + Access TokenGET userinfo_endpoint (可选)用户 Claims携带 Access Token 请求受保护资源
六、工程实践要点总结
| 要点 | 说明 |
|---|---|
| 缓存策略 | Discovery 文档与 JWKS 应依据 HTTP Cache-Control 缓存,不必每次登录都请求;密钥轮换时按需刷新 |
| 强制 HTTPS | 所有端点必须走 TLS,防止中间人篡改端点地址 |
| issuer 三重校验 | 请求基地址 == Discovery issuer == ID Token iss,缺一不可 |
| 按 kid 验签 | 从 JWT 头部读 kid,到 JWKS 中匹配公钥,天然兼容密钥轮换 |
| 多 OP 隔离 | 每个 OP 独立维护配置、密钥与 issuer,严禁交叉验证 |
| Access Token 区分处理 | JWT 本地验签,opaque token 走 Introspection 端点 |
结语
/.well-known/openid-configuration 看似只是一个返回 JSON 的元数据端点,但它实际上是整个 OIDC 信任体系的入口。从这里出发,客户端获得端点地址、获得验签公钥、确认对方身份;而 issuer 三重匹配则像一根贯穿始终的主线,确保「发现的是谁、登录的是谁、签发令牌的是谁」始终指向同一个可信主体。理解了这条信任链,也就理解了 OIDC 安全设计的精髓------信任不是假设出来的,而是在每一步显式验证出来的。