OIDC - qual è il punto di due token separati - accesso e id?

Question

OIDC - qual è il punto di due token separati - accesso e id?

#1 da (1 voti)

1

Faccio fatica a capire perché non abbiamo solo un singolo token che serve a entrambi gli scopi: autorizzazione e autenticazione?

In un certo senso, il token di accesso fa molto più che una semplice autorizzazione. Fornisce anche l'id utente (nella sottovoce) e dopo la verifica, l'API (pubblico del token) conosce entrambi: chi sei e cosa ti è permesso fare.

Il token ID, d'altra parte, è pensato per il cliente, ma in caso di una SPA, non vedo assolutamente alcun punto in esso. Una SPA recupera entrambi token ID token e utilizza il token di accesso per comunicare con un'API.

Alcune domande: - È puramente per ragioni storiche, che siamo bloccati con due token separati? - Quando ho veramente bisogno del token ID? Cosa fa una SPA con questo?

oauth2 openid-connect

posta eddyP23 17.07.2018 - 14:15

fonte

1 risposta

Leggi altre domande sui tag oauth2 openid-connect

Hash una chiave API segreta con un sale casuale invece di inviarlo inviandolo da solo nell'API REST Integrazione sicura dell'autenticazione PHP e WebSocket

score 1 · Accepted Answer

Il seguente link mi ha aiutato a capire come potrebbe accadere se usiamo il token di accesso di OAuth2 per l'autenticazione, che viene chiamata pseudo-autenticazione:
link
Come ho capito, il token id in OIDC serve come prova per l'applicazione client che il proprietario di risorse autenticato sul server di autenticazione, e il token di accesso viene utilizzato per dire all'applicazione client richiedente quali risorse l'utente (proprietario di risorse) ha su di esso ( Client) e server di autenticazione (endpoint informazioni utente). Quindi il cliente potrebbe chiedere all'utente (proprietario di risorse) di concedere l'accesso ad altre risorse, ad altri clienti, e che l'accesso possa essere fornito al Cliente richiedente sotto forma di un altro token di accesso o nello stesso momento in cui avviene l'autenticazione.
Penso che sarebbe utile per te dare un'occhiata alla mia domanda recente, in cui fornisco le mie domande su come funziona OIDC e chiedi la convalida:
Autorizzazione sull'applicazione OAuth2 che è sia client che server di risorse
E per quanto riguarda il token ID per una SPA, non vedo nemmeno il punto. Dal momento che SPA è come l'utente stesso (proprietario risorse), è come se l'utente avesse richiesto la prova dell'autenticazione che lui stesso ha eseguito. Penso che sia lì solo per rendere uniformi i flussi di lavoro.