應該使用哪一個OAuth 2.0提供者的JWK來驗證OpenID Connect`id_token`？

Question

如果認證服務器提供了多個用於驗證OpenID Connect id_token作爲OPenID Connect Implicit Flow的一部分的JSON Web密鑰（例如https://www.googleapis.com/oauth2/v3/certs）？

如若id_token與第一JSON網絡密鑰驗證，所有的JSON網絡密鑰，或者是認爲有效的id_token如果它可以與任何這些提供JSON網絡密鑰的驗證？

謝謝！

Answer 1

當有在播放多個鍵，所述ID連接提供商可以用它來簽署id_token，所述id_token的報頭通常包含被實際使用的密鑰的密鑰標識符（在kid元素）。這對應於您描述的（jwks_uri）端點上發佈的JWK中的kid元素。因此id_token只有在使用與標頭中的kid關聯的密鑰進行驗證時纔有效。