OIDC - qual è il punto di due token separati - accesso e id?

1

Faccio fatica a capire perché non abbiamo solo un singolo token che serve a entrambi gli scopi: autorizzazione e autenticazione?

In un certo senso, il token di accesso fa molto più che una semplice autorizzazione. Fornisce anche l'id utente (nella sottovoce) e dopo la verifica, l'API (pubblico del token) conosce entrambi: chi sei e cosa ti è permesso fare.

Il token ID, d'altra parte, è pensato per il cliente, ma in caso di una SPA, non vedo assolutamente alcun punto in esso. Una SPA recupera entrambi token ID token e utilizza il token di accesso per comunicare con un'API.

Alcune domande: - È puramente per ragioni storiche, che siamo bloccati con due token separati? - Quando ho veramente bisogno del token ID? Cosa fa una SPA con questo?

    
posta eddyP23 17.07.2018 - 14:15
fonte

1 risposta

1

Il seguente link mi ha aiutato a capire come potrebbe accadere se usiamo il token di accesso di OAuth2 per l'autenticazione, che viene chiamata pseudo-autenticazione:
link
Come ho capito, il token id in OIDC serve come prova per l'applicazione client che il proprietario di risorse autenticato sul server di autenticazione, e il token di accesso viene utilizzato per dire all'applicazione client richiedente quali risorse l'utente (proprietario di risorse) ha su di esso ( Client) e server di autenticazione (endpoint informazioni utente). Quindi il cliente potrebbe chiedere all'utente (proprietario di risorse) di concedere l'accesso ad altre risorse, ad altri clienti, e che l'accesso possa essere fornito al Cliente richiedente sotto forma di un altro token di accesso o nello stesso momento in cui avviene l'autenticazione.
Penso che sarebbe utile per te dare un'occhiata alla mia domanda recente, in cui fornisco le mie domande su come funziona OIDC e chiedi la convalida:
Autorizzazione sull'applicazione OAuth2 che è sia client che server di risorse
E per quanto riguarda il token ID per una SPA, non vedo nemmeno il punto. Dal momento che SPA è come l'utente stesso (proprietario risorse), è come se l'utente avesse richiesto la prova dell'autenticazione che lui stesso ha eseguito. Penso che sia lì solo per rendere uniformi i flussi di lavoro.

    
risposta data 29.07.2018 - 18:21
fonte

Leggi altre domande sui tag