您使用的验证端点取决于您请求的令牌类型:
OIDC 令牌
OIDC 令牌由 Google Cloud Attestation、AWS 和 Intel Trust Authority 提供。
下表介绍了在 OIDC 令牌验证端点返回的高级字段。该端点是通过将 .well-known/openid-configuration 附加到提供方 URI 来构建的。
Google Cloud Attestation:
https://confidentialcomputing.googleapis.com/.well-known/openid-configuration。Intel Trust Authority:
https://portal.trustauthority.intel.com/.well-known/openid-configuration。
| 键 | 说明 |
|---|---|
claims_supported |
证明令牌中的密钥。如需了解详情,请参阅 证明令牌声明。 |
id_token_signing_alg_values_supported |
令牌支持的签名算法(alg 值)。Confidential Space 支持 RS256 算法。 |
issuer |
Confidential Space 用作其签发者标识符的 HTTPS 方案。该值取决于所用的证明服务:
|
jwks_uri |
用于验证令牌签名的公钥的路径。您可以将这些密钥发布到 Cloud Storage 存储桶中。 您可以在以下网址中找到 示例值为
|
response_types_supported |
支持的 Confidential Space 响应类型列表。Confidential Space 支持 id_token。
|
scopes_supported |
机密虚拟机实例支持的
OAuth 2.0 范围值。Confidential Space 仅支持 openid。 |
subject_types_supported |
Confidential Space 支持的正文标识符类型。Confidential Space 支持 public。 |
PKI 令牌
下表介绍了在 PKI 令牌验证端点 https://confidentialcomputing.googleapis.com/.well-known/attestation-pki-root 返回的高级字段。
root_ca_uri |
用于验证 PKI 令牌类型签名的根证书的路径。 |