Secondo le specifiche , OpenID Connect utilizza nonce come reclamo registrato nome, ma RFC 7519 include già un reclamo registrato denominato jti per questo stesso scopo.
Era una svista, o c'era qualcosa di sbagliato nel modo in cui jti è stato specificato (o implementato)?
C'è una voce nella mailing list all'interno di OpenId dove posso trovare queste informazioni?
Il jti (JWT ID) viene scelto dal server di autenticazione per identificare un token. Come per OpenID Connect, sezione 9 :
JWT ID. A unique identifier for the token, which can be used to prevent reuse of the token. These tokens MUST only be used once, unless conditions for reuse were negotiated between the parties; any such negotiation is beyond the scope of this specification.
Il nonce viene scelto dall'applicazione e passato come paramezzo nella richiesta di autenticazione.
String value used to associate a Client session with an ID Token, and to mitigate replay attacks. The value is passed through unmodified from the Authentication Request to the ID Token. If present in the ID Token, Clients MUST verify that the nonce Claim Value is equal to the value of the nonce parameter sent in the Authentication Request. If present in the Authentication Request, Authorization Servers MUST include a nonce Claim in the ID Token with the Claim Value being the nonce value sent in the Authentication Request. Authorization Servers SHOULD perform no other processing on nonce values used. The nonce value is a case sensitive string.
Quindi servono a scopi diversi. E il nonce precede i binding JWT in OAuth2 (sebbene sia definito molto vagamente), e si applica anche se si usano stringhe di token opache.
altro rispondi qui spiega la differenza tra i parametri stato e nonce.
Leggi altre domande sui tag openid jwt openid-connect