OpenID Connect ID ibrido ID ritorno ID token / token endpoint?

2

In OpenID Connect, c'è un flusso chiamato "flusso ibrido". Il flusso ibrido restituisce, in base al tipo_risposta (ad esempio id_token code , id_token code token ), il token ID immediatamente. La mia domanda se l'endpoint /token deve restituire un token ID anche se un token ID è già stato emesso dall'oggetto /authorize (ad esempio quando response_type è id_token code ).

Vorrei anche sapere se un token ID viene restituito dall'endpoint /token quando il tipo di risposta è code token e l'ambito contiene openid .

Le specifiche non forniscono molte informazioni su questo argomento (o sto guardando le sezioni sbagliate): link

    
posta machete 08.03.2016 - 08:42
fonte

1 risposta

1

Capitolo 3.3.3.6 della specifica openid-connect-core-1_0 che stai collegando:

When using the Hybrid Flow, the contents of an ID Token returned from the Token Endpoint are the same as for an ID Token returned from the Authorization Endpoint, as defined in Section 3.3.2.11, with the exception of the differences specified in this section.

If an ID Token is returned from both the Authorization Endpoint and from the Token Endpoint, which is the case for the response_type values code id_token and code id_token token, the iss and sub Claim Values MUST be identical in both ID Tokens. All Claims about the Authentication event present in either SHOULD be present in both. If either ID Token contains Claims about the End-User, any that are present in both SHOULD have the same values in both. Note that the OP MAY choose to return fewer Claims about the End-User from the Authorization Endpoint, for instance, for privacy reasons. The at_hash and c_hash Claims MAY be omitted from the ID Token returned from the Token Endpoint even when these Claims are present in the ID Token returned from the Authorization Endpoint, because the ID Token and Access Token values returned from the Token Endpoint are already cryptographically bound together by the TLS encryption performed by the Token Endpoint.

La mia interpretazione sarebbe che, sì, /token endpoint restituisce il token ID se è stato originariamente richiesto il tipo di risposta "id_token".

    
risposta data 08.03.2016 - 12:12
fonte

Leggi altre domande sui tag