IdentityServer4相关well-known/openid-configuration介绍

最新推荐文章于 2025-06-12 09:08:11 发布

原创最新推荐文章于 2025-06-12 09:08:11 发布 · 7.2k 阅读

10 ·

CC 4.0 BY-SA版权

文章标签：

#c#

IdentityServer4 专栏收录该内容

3 篇文章

订阅专栏

本文介绍了IdentityServer4中well-known/openid-configuration的格式及各字段含义，包括发行网址、授权端点、获取token的URL等关键接口。此外还详细说明了支持的范围、请求方式及传值方式等内容。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

关于IdentityServer4中well-known/openid-configuration格式介绍，一下接口浏览器直接访问
http://localhost:5000/.well-known/openid-configuration
即可得到如下json内容

{
issuer: "http://localhost:5000", **发行网址，也就是说我们的权限验证站点
jwks_uri: "http://localhost:5000/.well-known/openid-configuration/jwks", ** 这个接口获取的是公钥，用于验证jwt的数字签名部分（数字签名由sso维护的私钥生成）用的。
authorization_endpoint: "http://localhost:5000/connect/authorize", ** 授权服务器的授权端点的URL
token_endpoint: "http://localhost:5000/connect/token", ** 获取token的URL接口
userinfo_endpoint: "http://localhost:5000/connect/userinfo", ** 根据token获取用户信息
end_session_endpoint: "http://localhost:5000/connect/endsession", ** 登录注销
check_session_iframe: "http://localhost:5000/connect/checksession", ** 客户端对check_session_iframe执行监视，可以获取用户的登出状态
revocation_endpoint: "http://localhost:5000/connect/revocation", ** 这个网址允许撤销访问令牌(仅access tokens 和reference tokens)。它实现了令牌撤销规范(RFC 7009)
introspection_endpoint: "http://localhost:5000/connect/introspect", ** introspection_endpoint是RFC 7662的实现。 它可以用于验证reference tokens(或如果消费者不支持适当的JWT或加密库，则JWTs)
device_authorization_endpoint: "http://localhost:5000/connect/deviceauthorization", ** 
frontchannel_logout_supported: true, ** 可选。基于前端的注销机制
frontchannel_logout_session_supported: true, ** 可选。基于session的注销机制
backchannel_logout_supported: true, ** 指示OP支持后端通道注销
backchannel_logout_session_supported: true, ** 可选的。指定RP是否需要在注销令牌中包含sid(session ID)声明，以在使用backchannel_logout_uri时用OP标识RP会话。如果省略，默认值为false
scopes_supported: [
"openid",
"profile",
"scope1",
"offline_access"
], ** 支持的范围
claims_supported: [
"sub",
"name",
"family_name",
"given_name",
"middle_name",
"nickname",
"preferred_username",
"profile",
"picture",
"website",
"gender",
"birthdate",
"zoneinfo",
"locale",
"updated_at"
], ** 支持的claims
grant_types_supported: [
"authorization_code",
"client_credentials",
"refresh_token",
"implicit",
"password",
"urn:ietf:params:oauth:grant-type:device_code"
], ** 授权类型
response_types_supported: [
"code",
"token",
"id_token",
"id_token token",
"code id_token",
"code token",
"code id_token token"
], ** 支持的请求方式
response_modes_supported: [
"form_post",
"query",
"fragment"
], ** 传值方式
token_endpoint_auth_methods_supported: [
"client_secret_basic",
"client_secret_post"
], ** JSON数组，包含此令牌端点支持的客户端身份验证方法列表
id_token_signing_alg_values_supported: [
"RS256"
],
subject_types_supported: [
"public"
], ** JSON数组，包含此OP支持的主题标识符类型列表。 有效值是 pairwise 和 public.类型。 更多信息
code_challenge_methods_supported: [
"plain",
"S256"
], ** JSON数组，包含此授权服务器支持的PKCE代码方法列表
request_parameter_supported: true
}