jwt - 签名密钥、证书和客户机密混淆

AddDevelopmentSigningCertificate() 和 AddEphemeralSigningKey() 有什么区别？

AddDevelopmentSigningCertificate将尝试生成自签名 X.509 证书（包含 RSA 密钥）并将其存储在用户的证书存储中，以便即使在您重新启动应用程序后也可以重新使用它。

AddEphemeralSigningKey只会生成一个 RSA 签名密钥，但不会在任何地方保存它。重新启动应用程序后，它将丢失。

这两种方法的目的完全相同：创建用于保护您的令牌的签名密钥。

AddSigningCertificate() 和 AddSigningKey() 有什么区别，什么时候使用其中一个或两个？

唯一的区别是AddSigningCertificate()接受X509Certificate2参数而AddSigningKey()接受SecurityKey实例。最终，AddSigningCertificate()负责从证书中解析 RSA 或 ECDSA 密钥并调用AddSigningKey().

但是当您使用 AddSigningKey 时 - 它也用于签署 JWT 令牌。如果您同时使用两者，这是否意味着 JWT 令牌被签名两次 - 一个在另一个之上？还是一个覆盖另一个？

当您注册多个非对称签名密钥时，OpenIddict 仅使用第一个来签署令牌。其他的仅由发现端点公开，因此您以后可以决定将它们设置为“主键”而不会破坏您的客户端。

我知道我需要设置一个签名证书，理想情况下应该位于机器商店中。

是的。如果您无权访问机器或用户存储（推荐选项），您也可以将其存储在嵌入式程序集文件中。

但我还需要一个唯一的签名密钥，该密钥与我的使用 JWT 不记名身份验证的 API 端点（在 .NET Framework 4.x 中）共享。

这就是目的AddSigningCertificate()和AddSigningKey()目的。建议使用非对称签名密钥（即证书或RsaSecurityKey/EcdsaSecurityKey实例）。

如果您更喜欢使用对称密钥来 HMAC 您的 JWT 令牌，请使用AddSigningKey(new SymmetricSecurityKey([bytes])).

如果您的授权服务器颁发身份令牌，您将需要至少一个非对称密钥（证书或原始 RSA/ECDSA 密钥），但 JWT 访问令牌将首选对称密钥。

使用 JWT Bearer 身份验证时是否使用客户端密钥？这如何与签名证书和签名密钥一起发挥作用？

客户端密钥仅在与令牌或撤销端点通信时使用，而不是在您使用自己的 API 端点时使用。有关更多信息，请阅读https://www.rfc-editor.org/rfc/rfc6749#section-2.3