Development #65743
SLO OIDC : avec iss et sid, pourrait-on tenter le logout en "backchannel"
0%
Description
Actuellement le SLO se passe en frontoffice avec des iframe qui chargent des URLs.
Aujourd'hui ces URL contiennent les informations (iss/sid) qui permettent de retrouver la session à tuer.
Ne pourrait-on pas renforcer le logout en faisant en sorte que Authentic appelle lui-même ces URLs ? ("en backchannel")
Je dis "renforcer" parce que le chargement des iframe, surtout sur des domaines tiers, c'est mort.
Historique
Mis à jour par Benjamin Dauvergne il y a presque 2 ans
Donc utiliser les URLs frontchannel pour du backchannel ? Oui pourquoi pas, mais il faudrait que ce soit optionnel parce que le frontchannel "classique" en iframe est utilisé à certains endroits où ça marche (parce que même domaine parent) et ensuite il y a une spec pour le backchannel qui bien sûr n'a aucun rapport (il faut placer iss, sid dans un json web-token et poster ça)[1].
[1]: https://openid.net/specs/openid-connect-backchannel-1_0.html
Mis à jour par Thomas Noël il y a presque 2 ans
- Statut changé de Nouveau à Rejeté
Ok, je rejette, il faudrait plutôt implémenter https://openid.net/specs/openid-connect-backchannel-1_0.html
Mis à jour par Benjamin Dauvergne il y a presque 2 ans
Pour moi la solution c'est d'implémenter frontchannel comme il faut, et de dire aux gens que si les cookies ne passent pas bien alors il faut se baser sur iss/sid, le faire en backchannel n'apporte rien de plus, si la notif via navigateur ne passe pas, le POST en backchannel peut lui aussi échouer pour diverses raisons (ça timeout, le réseau est tombé, whatever...). Comme la personne était encore sur le site du RP (SP en SAML) 2s avant, on peut penser qu'ouvrir une page dans une iframe dans son navigateur devrait marcher.