Tapkey令牌交换-更好地理解令牌交换请求

Question

关于通过tapkey令牌交换检索访问令牌：

假设我在Tapkey上注册了两个身份提供者，它们使用相同的公钥:现在我向：POST https://login.tapkey.com/connect/token发出请求，在请求体中包括client id和provider。

是否可以安全地假设，我将只检索身份提供者的用户的访问令牌，这是在请求正文的provider中定义的？正确的身份提供者是由provider选择的，而不是由我发送用于交换的jwt-token的签名选择的，对吗？

Answer 1

对，签名本身只是用来验证的。

请求的提供者将是交换的令牌中的身份提供者。

但是：

• 必须将客户端设置为使用此身份提供者
• 主题令牌必须使用配置的令牌进行签名
• 主题令牌中的受众和颁发者声明必须与配置的identity provider.
• ...

匹配

可以使用相同的私钥为多个身份提供者签名jwt令牌。但受众应该有所不同，不允许在不同的身份提供商之间交换令牌。

通常我们不会期望需要多个身份提供者，除非用户必须严格分离。