Google Open ID connect y ID token

Navega tus respuestas
3

Me pregunto si es seguro enviar "token de identificación", que es uno de los elementos que resultan de la autenticación de un usuario que utiliza Google Open Id Connect, para el cliente y usarlo para una mayor autenticación.

El otro elemento que es significativo es el token de acceso.

Mi idea fue enviar el token de identificación al cliente y mantener el token de acceso solo en el servidor, de modo que cuando un usuario venga al sitio web la próxima vez pueda "presentar" su "token de identificación" y ser considerado como registrado. in.

Me preguntaba si es una mala idea enviar un token de identificación a través del cable y guardarlo en la memoria caché, ¿o es aceptable hacerlo?

    
pregunta markovuksanovic 20.12.2013 - 05:28
fuente

1 respuesta

2

¿Has leído detenidamente los documentos de OpenID Connect?

De la documentación :

  

Después de obtener la información de usuario del token de ID, debe consultar la base de datos de usuario de su aplicación. Si el usuario ya existe en su base de datos, debe iniciar una sesión de aplicación para ese usuario.

No he leído los documentos completamente, y puedo estar equivocado aquí, pero recibe el id_token de Google en respuesta a un POST de HTTPS

  

id_token | Un JWT que contiene información de identidad sobre el usuario que está firmada digitalmente por Google.

entonces, ¿por qué necesita 'enviarlo' al cliente?

    
respondido por el Kedar 29.12.2013 - 16:58
fuente

Lea otras preguntas en las etiquetas

Hashes de datos superpuestos - hace que sean más fáciles de descifrar incluso cuando ninguno de ellos está craqueado Protegiendo un href = '{{my_model.some_url}}' en Django