Anche se penso che OpenID 2.0 sia un protocollo di autenticazione più pulito e migliore di OpenID Connect, devo implementare un IdP OpenID Connect.
Un punto che mi piace in OpenID 2.0 è che l'IdP può restituire un'identità firmata al Relying Party (tramite l'agente utente) e non c'è un ulteriore round trip tra RP e l'IdP.
A prima vista, OpenID Connect definisce un flusso "implicito" che a me sembra soddisfacente. Ma quando guardo i dettagli, sembra che sia progettato solo per essere usato con "Client implementati in un browser utilizzando un linguaggio di scripting".
Ho pensato che potrei comunque utilizzare il flusso "Implicito" con un RP lato server, utilizzando la modalità di risposta "query", ma " OAuth 2.0 Prove di codifica di tipo a risposta multipla "Il documento vieta esplicitamente l'uso della modalità di risposta" query "con il tipo di risposta id_token ...
Perché è proibito? E più in generale, perché il flusso "Implicito" è corrugato?
A quanto ho capito, finché i token ID sono firmati e l'RP usa (e verifica) nonces, il flusso "Implicit" dovrebbe essere sicuro.