En la especificación de OpenID Connect la reclamación de azp (parte autorizada) parece tener una contradicción .
En la sección de definición del token de ID 2 dice:
puja
OPCIONAL. Parte autorizada: la parte a la que se emitió el token de ID. Si está presente, DEBE contener el ID de cliente OAuth 2.0 de esta parte. Este reclamo solo es necesario cuando el token de ID tiene un solo valor de audiencia y esa audiencia es diferente a la parte autorizada . PUEDE ser incluido incluso cuando la parte autorizada es la misma que la única audiencia ...
Pero en la sección de validación de token 3.1.3.7 , uno de los pasos parece ser diga lo contrario:
- Si el token de ID contiene múltiples audiencias, el cliente DEBE verificar que esté presente una reclamación de azp.
¿Alguien podría arrojar algo de luz sobre esta aparente discrepancia? Solo la segunda instancia usa lenguaje declarativo, así que me inclino por favorecer eso en mi implementación, aunque creo que lo primero tiene más sentido para la seguridad.