作为keycloak的开发人员,我最近发现 LinkedIn 有一款名为允许Sign In with LinkedIn using OpenID Connect通过该平台进行社交登录的产品。尝试配置 keycloak 以通过 LinkedIn openidc 提供登录,我遇到了两个问题:
LinkedIn 提供的 jwks 端点不提供"use":"sig"签名密钥字段。该字段是强制性的,因为 OpenID Connect规范规定“相应密钥的密钥用法必须支持签名”。因此keycloak不允许使用该密钥,应手动配置它。
代码交换后返回的ID令牌不包含身份验证时提交的nonce。这也是ID Token Validation 中规范第 11 点所要求的。Keycloak 发送随机数,然后验证其在 ID 令牌中的存在,它会丢弃响应,因为随机数不存在。目前这一点还没有解决办法。
我们在以下keycloak 问题上检测到了这两个问题。
我尝试以会员身份向 LinkedIn 开立案例,但该案例已关闭,并将我重定向至 stackoverflow。因此,我在这里询问是否有参与 OpenIDC 的 LinkedIn 员工可以帮助或重定向我到哪里询问此问题。
我尝试使用Sign In with LinkedIn using OpenID Connect并检测到两个缺陷,一个有解决方法(但令人讨厌),但另一个无法解决。