Support #36965
auth_oidc : prise en charge des ID Tokens chiffrés
0%
Description
Avec des informations supplémentaires lors de l'enregistrement d'un fournisseur, dans le même esprit que pour la signature :
déclarer des algos de chiffrement supportés par le fournisseur, et ajouter les clés publiques de déchiffrement au jwks de l'objet de fournisseur distant dans les modèles.
Idéalement, refuser tout ID Token en clair lorsque le fournisseur associé a été enregistré comme envoyant des jetons chiffrés (Cf les spécs1 : "If encryption was negotiated with the OP at Registration time and the ID Token is not encrypted, the RP SHOULD reject it.")
1 https://openid.net/specs/openid-connect-core-1_0.html#IDTokenValidation
History
Updated by Paul Marillonnet over 3 years ago
- Status changed from Nouveau to Information nécessaire
- Assignee set to Paul Marillonnet
Je vais relire la doc pour comprendre si un fournisseur qui chiffre ses jetons attend aussi nécessairement qu'on présente un jeton d'accès chiffré lors de l'appel à l'endpoint UserInfo. Auquel cas ça complique un peu l'affaire.
Updated by Benjamin Dauvergne over 3 years ago
- Priority changed from Normal to Bas
Pour l'instant je n'ai jamais croisé de JWT chiffré (OIDC imposant TLS c'est rare, mais ça pourrait servir pour les utiliser comme jeton vraiment opaque, encore que... comme c'est signé à destination du RP un IDtoken retourné à l'OP ne pourra pas être déchiffré, même avec un chiffrement symétrique, à moins que le destinataire soit dans l'entête, bon c'est un peu flou pour moi).