Support #36965
auth_oidc : prise en charge des ID Tokens chiffrés
0%
Description
Avec des informations supplémentaires lors de l'enregistrement d'un fournisseur, dans le même esprit que pour la signature :
déclarer des algos de chiffrement supportés par le fournisseur, et ajouter les clés publiques de déchiffrement au jwks de l'objet de fournisseur distant dans les modèles.
Idéalement, refuser tout ID Token en clair lorsque le fournisseur associé a été enregistré comme envoyant des jetons chiffrés (Cf les spécs1 : "If encryption was negotiated with the OP at Registration time and the ID Token is not encrypted, the RP SHOULD reject it.")
1 https://openid.net/specs/openid-connect-core-1_0.html#IDTokenValidation
Historique
Mis à jour par Paul Marillonnet il y a plus de 4 ans
- Statut changé de Nouveau à Information nécessaire
- Assigné à mis à Paul Marillonnet
Je vais relire la doc pour comprendre si un fournisseur qui chiffre ses jetons attend aussi nécessairement qu'on présente un jeton d'accès chiffré lors de l'appel à l'endpoint UserInfo. Auquel cas ça complique un peu l'affaire.
Mis à jour par Benjamin Dauvergne il y a plus de 4 ans
- Priorité changé de Normal à Bas
Pour l'instant je n'ai jamais croisé de JWT chiffré (OIDC imposant TLS c'est rare, mais ça pourrait servir pour les utiliser comme jeton vraiment opaque, encore que... comme c'est signé à destination du RP un IDtoken retourné à l'OP ne pourra pas être déchiffré, même avec un chiffrement symétrique, à moins que le destinataire soit dans l'entête, bon c'est un peu flou pour moi).