Google Open ID connect e ID token

3

Mi chiedo se è sicuro inviare "token ID", che è uno degli elementi che risultano dall'autenticazione di un utente utilizzando Google Open Id Connect, al client e utilizzarlo per un'ulteriore autenticazione.

L'altro elemento significativo è il token di accesso.

La mia idea era quella di inviare il token id al client e mantenere il token di accesso solo sul server, in modo che quando un utente arriva la volta successiva al sito web possa "presentare" il proprio "token ID" e sia considerato come registrato a.

Mi chiedevo se sarebbe una cattiva idea inviare un token ID sul cavo e memorizzarlo nella cache, o è accettabile farlo?

    
posta markovuksanovic 20.12.2013 - 05:28
fonte

1 risposta

2

Hai letto attentamente i documenti di OpenID Connect?

Da la documentazione :

After obtaining user information from the ID token, you should query your app's user database. If the user already exists in your database, you should start an application session for that user.

Non ho letto completamente i documenti, e potrei sbagliarmi qui, ma tu ricevi il id_token da Google in risposta a un POST HTTPS

id_token | A JWT that contains identity information about the user that is digitally signed by Google.

quindi perché è necessario "inviarlo" al client?

    
risposta data 29.12.2013 - 16:58
fonte

Leggi altre domande sui tag