可配置 OpenID Connect 提供者以使用 RS256 算法签署标识令牌。
关于此任务
通过将 signatureAlgorithm 设置为 RS256 并配置含有签名专用密钥的密钥库,可配置 OpenID Connect 提供者以使用 RSA-SHA256 签名算法签署标识令牌。
过程
- 在 server.xml 文件中,创建引用物理密钥库的 keystore 元素,该物理密钥库包含能够执行 RSA-SHA256 签名算法的专用密钥。例如:
<keyStore id="opTestKeyStore" location="${server.config.dir}/opKeyStore.jks" type="JKS" password="keystorePwd" />
- 将 OpenID Connect 提供者 signatureAlgorithm
属性设置为 RS256,将 keyStoreRef
属性设置为步骤 1 中使用的 keystore 元素的 id 值,并设置 keyAliasName 以在密钥库中查找专用密钥。如果步骤 1 中使用的 keystore
元素标识为 opKeyStore,那么设置 keyStoreRef 是可选操作。例如:
<openidConnectProvider id="OAuthConfigSample" oauthProviderRef="OAuthConfigSample" signatureAlgorithm="RS256" keyStoreRef="opTestKeyStore" keyAliasName="myOpKeyAlias" />
结果
您现在已配置 OpenID Connect 提供者以使用 RSA-SHA256 签署标识令牌。