Quali sono le informazioni fornite in un profilo utente alla fine di un flusso OpenID Connect?

1

Da quanto ho capito sull'uso di OpenID Connect (oltre OAuth2 ), è che ci ritroviamo con alcuni JSON contenente informazioni sull'utente. Tali informazioni vengono trasportate come Token Web JSON .

➥ Quali sono le informazioni in particolare?

  • Email dell'utente?
  • Numero di cellulare dell'utente?
  • Nome utente dell'utente?
  • Il "nome utente" dell'utente su qualche sistema?
  • Una specie di identificatore univoco?

Guardando attraverso il sito OpenID Connect, come questa pagina , misteriosamente non riesco a trovare alcuna spiegazione del carico utile alla fine di un Transazione OpenID Connect.

Se vengono fornite più informazioni private, esiste un modo per chiedere l'autorizzazione a fornire solo un sottoinsieme come l'indirizzo e-mail ma non il numero di telefono, proprio come granularità di scope in una richiesta OAuth2 per l'autorizzazione delegata?

La maggior parte di quel poco che so di OpenID Connect è venuto dalla presentazione video, OAuth 2.0 e OpenID Connect ( in inglese semplice) di Nate Barbettini di Okta.com. Spiega i meccanismi & protocolli molto bene, ma non ha toccato il contenuto / carico utile effettivo.

    
posta Basil Bourque 03.12.2018 - 01:41
fonte

1 risposta

1

eri quasi alla giusta risorsa! Se fai clic sul link core nella pagina a cui hai fatto riferimento troverai tutte le risposte che hai ' sto cercando.

C'è una sezione sul token ID che contiene le attestazioni (attributi) che sono definito dalla OpenID connect spec. L'unico che corrisponde alla tua lista è sub (subject) che è un identificatore univoco per l'utente.

Quindi dove sono gli altri?

La specifica definisce un insieme di attestazioni standard che corrispondono agli attributi che ho menzionato In effetti, il token ID è destinato ad essere estensibile . In quanto tale, puoi aggiungere qualsiasi reclamo ti piaccia al token.

Richiesta di accesso

Il meccanismo per aggiungere varie attestazioni al token ID fornito viene eseguito (come hai suggerito) utilizzo degli ambiti . La maggior parte dei server di autenticazione consente la creazione di regole che determinano quali richieste vengono richieste da ciascun ambito.

    
risposta data 04.12.2018 - 10:48
fonte