Bug #83365
idp_oidc: le sid est manquant dans l'id_token quand on utilise le code flow
Début:
10 novembre 2023
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Non
Planning:
Non
Description
De fait ça rend difficile l'implémentation du frontchannel/backchannel logout par les RPs classiques, actuellement ça ne marche vraiment correctement que pour les implémentations implicit flow/hybrid flow ou l'id_token est passé directement dans la redirection vers le RP.
Révisions associées
Historique
Mis à jour par Robot Gitea il y a 6 mois
- Statut changé de Nouveau à Solution proposée
Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/173
- Titre : idp_oidc: authorization code flow, provide "sid" claim in id_token (#83365)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/173/files
Mis à jour par Robot Gitea il y a 6 mois
- Statut changé de Solution proposée à Solution validée
Serghei Mihai (smihai) a approuvé une pull request sur Gitea concernant cette demande :
Mis à jour par Robot Gitea il y a 6 mois
- Statut changé de Solution validée à Résolu (à déployer)
Benjamin Dauvergne (bdauvergne) a mergé une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/173
- Titre : idp_oidc: authorization code flow, provide "sid" claim in id_token (#83365)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/173/files
Mis à jour par Transition automatique il y a 6 mois
- Statut changé de Résolu (à déployer) à Solution déployée
idp_oidc: authorization code flow, provide "sid" claim in id_token (#83365)
It is necessary for RP to handle frontchannel securely (without checking
the sid they should ask the user to confirm a logout initiated with a
simple GET) or if their session cookie is Strict and wont be available
on a simple redirection.
It will also be necessary if we ever implement the backchannel logout.