[Se-leg-ref] Kommentarer på uppdaterad dokumentation
magnus@diglias.com
29 Sep
2016
29 Sep
'16
8:53 p.m.
Ja, den 302 som ni redan har listat som exempel på steg 14 och som listas
som exempel i OIDC-specen. Den kan ju inte skickas som ett
HTTP-response/redirect utan att den har föregåtts av HTTP-request.
Men jag känner att det blir lite förvirrat och lätt att blanda ihop OIDC
request/response med HTTP request/response. Så för att vara tydlig:
https://docs.google.com/drawings/d/1kApdmkDxIv_Y6k2OSCNq13DheJ3vhZe6C8pW7nZ…
I 13.9 skickas nonce/transaktionsID med, så att OPn vet vilken transaktion
den ska skicka AuthenticationResponse för i steg 14.
Mvh
/Magnus
tors 29 sep. 2016 kl 19:21 skrev Fredrik Thulin <fredrik at thulin.net>:
On torsdag 29 september 2016 kl. 15:35:03 CEST Magnus
Hoflin wrote:
Magnus Hoflin
Co-founder, CTO
+46 709-27 83 28
magnus at diglias.com
*Diglias*
J A Pripps gata 2
421 32 Västra Frölunda
www.diglias.com
Hej igen Fredrik!
Tack för att ni förtydligar era tankegångar och att vi får vara med och
hjälpa till :-)
Vi var nog lite otydliga. Vårt förslag baseras inte mest på säkerhet,
snarare enkelhet och "spec-compliance".
Precis som steg 5-13 är en del av autenticeringen av end-user, dvs
utanför
scopet av OIDC, så skulle också steg 13.8 och
13.9 vara en del av
autenticeringen. Genom att införa requesten i steg 13.8/13.9 så möjliggör
vi för OPn att verkligen svara med en redirect i steg 14 (enligt kapitel
3.1.2.5 i OIDC). Detta, tror vi, skulle göra se-leg-flödet lättare att
förstå och lättare att koppla till OIDC-specen. För slutanvändaren märks
ingen skillnad.
Menar du alltså med en 302 som svar på Authentication request
HTTP-requesten?
/Fredrik
--