应该使用哪一个OAuth 2.0提供者的JWK来验证OpenID Connect`id_token`？

Question

如果认证服务器提供了多个用于验证OpenID Connect id_token作为OPenID Connect Implicit Flow的一部分的JSON Web密钥（例如https://www.googleapis.com/oauth2/v3/certs）？

如若id_token与第一JSON网络密钥验证，所有的JSON网络密钥，或者是认为有效的id_token如果它可以与任何这些提供JSON网络密钥的验证？

谢谢！

Answer 1

当有在播放多个键，所述ID连接提供商可以用它来签署id_token，所述id_token的报头通常包含被实际使用的密钥的密钥标识符（在kid元素）。这对应于您描述的（jwks_uri）端点上发布的JWK中的kid元素。因此id_token只有在使用与标头中的kid关联的密钥进行验证时才有效。