OpenID Connect Core 1.0（二）ID Token

2、ID Token（ID Token）

OpenID Connect主要是對OAuth 2.0 能夠使得終端用戶通過ID Token的數據結構進行驗證。當客戶端和潛在的其他請求聲明，ID Token包含聲明的安全令牌並能在授權伺服器中驗證一個終端用戶。ID Token表現為一個JSON Web Token(JWT)令牌。

以下對於所有OAuth 2.0流程使用的被OpenID Connect使用的ID Token的聲明：

iss

必需的。響應的發行者的發行標識符。iss的值是使用 https scheme 區分大小寫的URL，包含scheme、host和可選的埠號和路徑、組件和任何查詢或片段組件。

sub

必需的。 Subject標識符。由客戶端使用本地唯一的從不在發行給終端用戶期間重新分配的標識符，例如，24400320 或 AItOawmwtWwcT0k51BayewNvutrJUqsvl6qs7A4 。它長度不能超過255個ASCII字元。sub的值是對大小寫敏感的字元串。

aud

必需的。ID Token的消費者。作為消費值它必須包含在OAuth 2.0的依賴方的client_id中。它也可能包含其他消費者的標識符。在一般情況下，aud值是一個大小寫敏感的字元串的數組。在常見的只一個消費者特殊情況，aud可能是一個單一大小寫敏感的字元串值。

exp

必需的。在有效時間過期之後，ID Token不得接受處理。這個參數要求必須在當前日期/時間 到 過期日期/時間中列出的值。考慮到時鐘不精確，實現者可能提供一個通常不超過幾分鐘大約值。exp值是一個JSON的數字，是從1970-01-01 t0:0:0z UTC，到某一日期/時間來度量的秒數。參看 RFC 3339 [RFC3339] 中關於日期/時間的詳細信息和UTC的規定。

iat

必需的。JWT發佈的時間。它的值是一個JSON值代表的秒數數字，代表從1970-01-01 t0:0:0z UTC至某一UTC日期/時間之間計算的。

auth_time

終端用戶驗證時間。它的值是一個JSON值代表的秒數數字，是從1970-01-01 t0:0:0z UTC至某一UTC日期/時間來計算的。當一個max_age請求設置或者當auth_time請求作為一個基本要求，那麼這一聲明就是必需的；否則，它是可選的。（auth_time 聲明語義對應OpenID 2.0 PAPE (OpenID.PAPE) auth_time 響應參數。）

nonce

用於關聯客戶端會話ID Token字元串值，以減輕重播攻擊。nonce值在驗證請求ID Token過程中是不會修改。如果存在ID Token，客戶端必須驗證發送的nonce值和在驗證請求參數發送達時的nonce值是否相等。如果nonce出現在驗證請求中，授權伺服器必須在ID Token認證請求中包含一個nonce值。授權伺服器應該執行使用nonce相應的處理。nonce值是一個大小寫敏感的字元串。

acr

可選的。驗證上下文類參考。字元串指定驗證上下文類的參考值，在滿足驗證識別時驗證上下文類使用。值“0”表示終端用戶驗證不符合ISO/IEC 29115 ISO29115一級要求。例如，驗證使用的瀏覽器cookie是其中之一，例子使用“0級”是合適的。認證與 0級不應該用於授權訪問的任何有值的資源。(這相當於OpenID 2.0 PAPE (OpenID.PAPE) nist_auth_level 0)。acr是一個用絕對URI或一個RFC 6711 (RFC6711) 註冊的名字; 註冊名稱不得使用一個和已經註冊的有不同的意義。相關方使用此聲明需要達成一致的意義值，這可能是上下文相關的。acr值是一個大小寫敏感的字元串。

amr

可選的。驗證方法引用。進行驗證方法時用於驗證的JSON數組標識符字元串。例如，這些值可能包含密碼和OTP驗證方式。amr聲明定義中特定值的使用，超出了本規範的範圍。相關方使用此聲明需要達成一致意義值，這可能是上下文相關的。amr值是一個組大小寫敏感的字元串。

azp

可選的。授權方——發行ID Token的一方。如果存在，它必須包含OAuth 2.0 客戶ID的一方。Claim 只是在ID Token只有一個消費值，和消費者來源不同的授權方時需要。這可能包含在即使授權方是相同的唯一的消費者。azp 值是一個大小寫敏感的字元串，包含一個StringOrURI值。

ID Token可能包含其他聲明。使用時必須忽略任何不理解聲明。參照 3.1.3.6 ，3.3.2.11 ，5.1 ，7.4部份規範定義的附加聲明。

使用ID Token必須使用JES簽名或分別使用JWS和JWE加密後簽名(可選)，從而提供認證的、完整性、不可抵賴性和可選，保密，在16.14節。如果ID Token是加密的，它必須簽名然後加密，結果是一個嵌套JWT(JWT中定義) 。ID Token不得使用一個none作為alg值，除非響應類型沒有從授權終結點返回ID Token (如在使用授權碼流程) 和客戶明確使用一個沒有登記時間請求。

ID Token不應使用 JWS or JWE x5u，x5c，jku，or jwk Header Parameter欄位。相反，應使用提前通過發現和註冊參數的引用keys（第十節）。

下麵是一個ID Token聲明集的非規範化的例子(JWT聲明集):

  {

   "iss": "https://server.example.com"，

   "sub": "24400320"，

   "aud": "s6BhdRkqt3"，

   "nonce": "n-0S6_WzA2Mj"，

   "exp": 1311281970，

   "iat": 1311280970，

   "auth_time": 1311280969，

   "acr": "urn:mace:incommon:iap:silver"

  }