Я работаю над провайдером, где внешние факторы требуют, чтобы токен идентификатора и информация о пользователе всегда были зашифрованы. Сам сервер является и должен быть с нулевым разглашением (как бы странно это ни звучало).
Насколько я понимаю, основная спецификация не запрещает этого. Динамическая регистрация клиента также поддерживается, но все параметры метаданных клиента id_token_encrypted*/userinfo_encrypted* переопределяются сервером, если они не были предоставлены. Согласно спецификации серверу разрешено это делать.
Однако спецификация обнаружения, похоже, не поддерживает эту идею. поскольку нет способа сообщить клиенту, что незашифрованные ответы не будут возвращены.
инструмент проверки соответствия также предполагает, что ответ не зашифрован. Чтобы иметь возможность запускать тесты, мне пришлось сделать исключение для этого конкретного клиента. Теперь я возвращаю только подписанные ответы, но даже если это пройдет, это не настоящая вещь.
Мешает ли это мне пройти верификацию, или я могу пройти верификацию, используя этот слегка модифицированный сервер, требуя, чтобы настоящие клиенты поддерживали шифрование?