OIDC 协议要求实现用户信息端点。可以使用访问令牌调用它,它将返回一堆有关用户的声明。实际上 id 令牌包含什么,但可能包含更多信息。
因此,即使访问令牌本身不携带此 PII,但如果被拦截,它肯定可以用来暴露所有这些信息。所以关于访问令牌中的 PII 的争论并不真正成立。
这是否意味着我应该可以在访问令牌中包含电子邮件,因为除了子声明之外,API 可能还需要它?
mTLS 约束令牌 或实施DPoP)。这些令牌与最初请求它们的客户端相关联。攻击者不仅必须窃取访问令牌,还必须窃取用于验证所有权证明的证书。其实现比不记名令牌稍微复杂一些,但安全性大大提高了。
幻影令牌方法)。
link)