https://dev.entrouvert.org/https://dev.entrouvert.org/favicon.ico?15861920342019-10-15T16:08:32ZRedmine Entr’ouvertAuthentic 2 - Support #36965: auth_oidc : prise en charge des ID Tokens chiffréshttps://dev.entrouvert.org/issues/36965?journal_id=1971072019-10-15T16:08:32ZPaul Marillonnet
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>Information nécessaire</i></li><li><strong>Assigné à</strong> mis à <i>Paul Marillonnet</i></li></ul><p>Je vais relire la doc pour comprendre si un fournisseur qui chiffre ses jetons attend aussi nécessairement qu'on présente un jeton d'accès chiffré lors de l'appel à l'endpoint UserInfo. Auquel cas ça complique un peu l'affaire.</p> Authentic 2 - Support #36965: auth_oidc : prise en charge des ID Tokens chiffréshttps://dev.entrouvert.org/issues/36965?journal_id=1971102019-10-15T16:13:57ZBenjamin Dauvergne
<ul><li><strong>Priorité</strong> changé de <i>Normal</i> à <i>Bas</i></li></ul><p>Pour l'instant je n'ai jamais croisé de JWT chiffré (OIDC imposant TLS c'est rare, mais ça pourrait servir pour les utiliser comme jeton vraiment opaque, encore que... comme c'est signé à destination du RP un IDtoken retourné à l'OP ne pourra pas être déchiffré, même avec un chiffrement symétrique, à moins que le destinataire soit dans l'entête, bon c'est un peu flou pour moi).</p>