flusso ibrido OIDC

Naviga le tue risposte
2

Sto cercando di capire il flusso ibrido di OIDC. Ho ragione nel ritenere che venga fatta una richiesta di autenticazione all'endpoint di autorizzazione, che quindi risponde con il codice di autorizzazione, il token id e il token nel frammento di URL?

Se è questo il caso di restituire un codice di autorizzazione se non verrà scambiato per un token di accesso e ID?

3.3.2.5. Successful Authentication Response

When using the Hybrid Flow, Authentication Responses are made in the same manner as for the Implicit Flow, as defined in Section 3.2.2.5, with the exception of the differences specified in this section.

These Authorization Endpoint results are used in the following manner:

access_token
OAuth 2.0 Access Token. This is returned when the response_type value used is code token, or code id_token token. (A token_type value is also returned in the same cases.)

id_token
ID Token. This is returned when the response_type value used is code id_token or code id_token token.

code
Authorization Code. This is always returned when using the Hybrid Flow.

The following is a non-normative example of a successful response using the Hybrid Flow (with line wraps for the display purposes only):

HTTP/1.1 302 Found Location: https://client.example.org/cb# code=SplxlOBeZQQYbYS6WxSbIA &id_token=eyJ0 ... NiJ9.eyJ1c ... I6IjIifX0.DeWt4Qu ... ZXso &state=af0ifjsldkj

    
posta PDStat 24.08.2018 - 11:38
fonte

1 risposta

0

L'unico modo per ottenere un token di aggiornamento è tramite l'endpoint del token utilizzando un codice di autenticazione. Personalmente non mi preoccuperei di "codice id_token token" e di usare invece "id_token code".

    
risposta data 17.09.2018 - 22:51
fonte

Leggi altre domande sui tag

Quali sono i vantaggi di un sistema di login a due pagine per una webapp? Kerberos tre transazioni - perché non usare solo due?