Sono stato informato di un'applicazione, presso un cliente, che afferma di utilizzare OIDC per autenticare gli utenti. Ciò avviene tuttavia tramite un flusso non standard che ritengo difficile valutare dal punto di vista della sicurezza.
Inizia con un front-end SPA che avvia una concessione implicita OAuth2 con l'ambito openid. È importante notare che questo è non una concessione implicita OIDC poiché viene restituito solo un token di accesso. Il token viene quindi utilizzato nelle comunicazioni all'API di back-end, che utilizza il token per richiedere attributi dall'endpoint userinfo. L'utente è considerato autenticato come utente restituito da userinfo.
La mia prima valutazione è che questo dovrebbe andare bene, purché il certificato TLS sull'endpoint userinfo sia validato. Tuttavia, non sono a mio agio nel dichiararlo al cliente poiché il flusso sembra mancare alcune parti chiave di OIDC, e non ho mai visto questo flusso promosso da nessuna parte.