我不得不因为我自己的原因深入研究并编写了这些内容,所以我将发布我在这里学到的内容......
首先,我回答说,在用户初始认证之后,ID令牌不再使用 . 但是,由于ID令牌由身份提供者签名,因此在任何时候提供一种可靠地确定用户对应用程序可能正在使用的其他服务的用户的方式肯定是有用的 . 使用简单的用户ID或电子邮件地址是不可靠的,因为它很容易被欺骗(任何人都可以发送电子邮件地址或用户ID),但由于OIDC ID令牌由授权服务器签署(通常也有作为第三方)它不能被欺骗,是一种更可靠的认证机制 .
例如,移动应用程序可能希望能够告诉后端服务用户是谁正在使用该应用程序,并且可能需要在初始身份验证之后的短暂时段之后执行此操作,此时ID令牌已过期,因此,不能用于可靠地验证用户 .
因此,就像访问令牌(用于授权 - 指定用户具有哪些权限)可以刷新一样, can you refresh the ID Token (用于身份验证 - 指定用户是谁)?根据OIDC规范,答案不是下面的,因为它是另外两个的变体 .
对于implicit flow in OIDC/OAuth,您通过将浏览器中的用户重定向到授权 endpoints 并包含 id_token 作为 response_type 请求参数的值来请求授权 endpoints 处的ID令牌 . Implicit Flow Successful Authentication Response必须包含 id_token .
对于the Authentication Code flow,客户端在将用户重定向到授权 endpoints 时将 code 指定为 response_type 请求参数的值 . 成功的响应包括授权代码 . 客户端客户端使用授权代码向令牌 endpoints 发出请求,并且根据OIDC Core Section 3.1.3.3 Successful Token Response,响应必须包含ID令牌 .
所以对于任何一个流程,这就是你最初获得ID令牌的方式,但是你如何刷新它? OIDC Section 12: Using Refresh Tokens有关于Refresh的以下声明令牌响应:
成功验证刷新令牌后,响应正文是3.1.3.3节的令牌响应,但它可能不包含id_token .
它 might not 包含一个ID令牌,因为没有指定强制它包含ID令牌的方法,你必须假设响应不包含ID令牌 . 因此从技术上讲,使用刷新令牌没有指定的方式来使用ID令牌 . 因此, the only way to get a new ID Token is to re-authorize/authenticate the user by redirecting the user to the authorization endpoint 并启动如上所述的隐式流或认证码流程 . OIDC规范确实向authorization request添加了一个 prompt 请求参数,因此客户端可以请求授权服务器不会使用任何UI提示用户,但重定向仍然必须发生 .
303
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
