OIDC联调烦在哪?
单点登录、企微/飞书打通、SaaS对接,一回调就不进页面,全屏白屏加转圈。研发说「是aud不对」,IT说「redirect_uri要一模一样」,你夹在中间只听到术语。把OIDC的ID Token解出来,对着issuer、audience、exp这些声明一条条核,至少能说清「是地址写岔了还是时间不对」。做增长、做企业客户实施、做内部系统对接的白领,最怕的是会开了两小时还在猜。先把声明摊开,会才能开在点子上。最后用户能正常登录、老板不再追问「到底卡哪」,这比你多写三封邮件都实在。 OIDC 联调先把 iss、aud 摊开,和IT、IdP 对齐有抓手;对负责客户的实施与增长,能说到「第几条声明」比只会说白屏有分量得多。
如何排查OIDC JWT
- 从授权回调或网络面板取ID Token。
- 核对iss、aud、exp、nonce。
- 与IdP文档里端点与client id配置对照。
OIDC JWT 常见问题
Access Token 也是JWT?
不一定,可能opaque。
clock skew?
exp/nbf与服务器时钟差会导致偶发失败。
at_hash?
与code/隐式流相关,按规范验证。