Project

General

Profile

Support #36966

auth_oidc: pouvoir émettre des requêtes signées

Added by Benjamin Dauvergne 9 months ago. Updated 14 days ago.

Status:
Nouveau
Priority:
Bas
Category:
-
Target version:
-
Start date:
15 Oct 2019
Due date:
% Done:

0%

Patch proposed:
No
Planning:
No

Description

La requête d'autorisation doit être encodé dans un JWT passé dans un paramètre request, voir la spec.

History

#1 Updated by Paul Marillonnet 9 months ago

  • Assignee set to Paul Marillonnet

#2 Updated by Paul Marillonnet 14 days ago

En fait, c'est même dans une RFC à part. Voir par exemple https://tools.ietf.org/html/rfc7523#page-4 :

   The following example demonstrates an access token request with a JWT
   as an authorization grant (with extra line breaks for display
   purposes only):

     POST /token.oauth2 HTTP/1.1
     Host: as.example.com
     Content-Type: application/x-www-form-urlencoded

     grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer
     &assertion=eyJhbGciOiJFUzI1NiIsImtpZCI6IjE2In0.
     eyJpc3Mi[...omitted for brevity...].
     J9l-ZhwP[...omitted for brevity...]

#3 Updated by Paul Marillonnet 14 days ago

<HS>D'ailleurs, l'autre moitié de cette RFC traite de l'authentification du client à l'aide d'un JWT, qui est peut-être quelque chose qui pourrait nous intéresser aussi, à voir.</HS>

#4 Updated by Benjamin Dauvergne 14 days ago

  • Priority changed from Normal to Bas

Paul Marillonnet a écrit :

<HS>D'ailleurs, l'autre moitié de cette RFC traite de l'authentification du client à l'aide d'un JWT, qui est peut-être quelque chose qui pourrait nous intéresser aussi, à voir.</HS>

Mouais...

Par contre pour les requêtes signé ça n'a qu'un seul usage : pouvoir respecter le flag forçant à une réauthentification ou une session avec une certaine fraîcheur, on a le même problème en SAML, si les requêtes d'authentification ne sont pas signés n'importe qui peut générer une requête sans flag de ré-authentification (l'idtoken ne contient pas l'information comme quoi l'utilisateur s'est réauthentifié).

Also available in: Atom PDF