2:29 p.m.
Hej,
Se svar inline nedan
On 03/10/16 10:54, "se-leg-ref on behalf of Fredrik Thulin"
<se-leg-ref-bounces at lists.sunet.se on behalf of fredrik at thulin.net> wrote:
On måndag 3 oktober 2016 kl. 08:25:55 CEST Magnus Hoflin wrote:
Så vi gör ett nytt försök: OIDC bygger ju på OAuth2.
Vår tolkning är att
tillämpliga skall-krav i OAuth2 gäller, så länge inte OIDC "overridar" det.
Med det sagt hävdar vi att det inte är OK att utesluta user-agent när man
skickar AuthenticationRequest och AuthenticationResponse. Se kap 3 (översta
stycket med punktlistorna) i OAuth2 (
https://tools.ietf.org/html/rfc6749#section-3) Man kan också läsa kap 1.7
i samma spec för en nyansering av det (
https://tools.ietf.org/html/rfc6749#section-1.7) Nyckelorden är "via the
user-agent". Det finns alltså t.ex. en anledning till att det heter
"redirect_uri" och inte "response_uri". Vi känner inte till att OIDC
(eller
OAuth2) någoLnstans lättar på det kravet, gör ni?
Jag har inte heller sett någon sådan lättnad av det kravet explicit uttryckt i varken
OIDC/OAuth2.
Jag vet inte om det är en tolkningsfråga, men jag ser den redirect’en som en
transportmetod.
I det “vanliga fallet” (webb-inloggningar), faller det sig väldigt naturligt, medan för
SE-Leg blir det inte alls lika naturligt (eftersom autentiseringen handlar om fysisk
id-vetting och inte användanamn/lösenord).
Och jag kan inte se hur det har någon inverkan för resten av protokollet.
Men jag ska leta vidare och se om det finns något liknande use case.
Genom att ta med user-agent i skickandet av
AuthenticationRequest och
AuthenticationResponse så försvinner per automatik den delen i lösningen
som vår "gut feeling" har vänt sig emot. Men, vi känner också att ni kanske
har uteslutit user-agent av en bra anledning och att vi inte har förstått
hela use-caset? Om så är fallet får ni gärna förklara så att vi får hela
bilden klar för oss.
Den största anledningen handlar om användarupplevelse, precis som Fredrik poängterar.
Den nuvarande designen, där vi inte artificiellt blandar inte användarens user-agent, tror
jag kommer leda till mindre förvirring för användarna.
Vänliga hälsningar,
---
Rebecka Gulliksson
ICT Services and System Development (ITS)
Umeå University
SE-901 87 Umeå, Sweden
rebecka.gulliksson at umu.se
www.its.umu.se