Project

General

Profile

Support #36965

auth_oidc : prise en charge des ID Tokens chiffrés

Added by Paul Marillonnet 6 months ago. Updated 6 months ago.

Status:
Information nécessaire
Priority:
Bas
Category:
-
Target version:
-
Start date:
15 Oct 2019
Due date:
% Done:

0%

Patch proposed:
No
Planning:
No

Description

Avec des informations supplémentaires lors de l'enregistrement d'un fournisseur, dans le même esprit que pour la signature :
déclarer des algos de chiffrement supportés par le fournisseur, et ajouter les clés publiques de déchiffrement au jwks de l'objet de fournisseur distant dans les modèles.

Idéalement, refuser tout ID Token en clair lorsque le fournisseur associé a été enregistré comme envoyant des jetons chiffrés (Cf les spécs1 : "If encryption was negotiated with the OP at Registration time and the ID Token is not encrypted, the RP SHOULD reject it.")

1 https://openid.net/specs/openid-connect-core-1_0.html#IDTokenValidation

History

#1 Updated by Paul Marillonnet 6 months ago

  • Assignee set to Paul Marillonnet
  • Status changed from Nouveau to Information nécessaire

Je vais relire la doc pour comprendre si un fournisseur qui chiffre ses jetons attend aussi nécessairement qu'on présente un jeton d'accès chiffré lors de l'appel à l'endpoint UserInfo. Auquel cas ça complique un peu l'affaire.

#2 Updated by Benjamin Dauvergne 6 months ago

  • Priority changed from Normal to Bas

Pour l'instant je n'ai jamais croisé de JWT chiffré (OIDC imposant TLS c'est rare, mais ça pourrait servir pour les utiliser comme jeton vraiment opaque, encore que... comme c'est signé à destination du RP un IDtoken retourné à l'OP ne pourra pas être déchiffré, même avec un chiffrement symétrique, à moins que le destinataire soit dans l'entête, bon c'est un peu flou pour moi).

Also available in: Atom PDF