OpenID connect: ¿Deben cambiar mis reclamaciones por audiencia?

0

Un token de identidad de OIDC está destinado a una audiencia específica (denotada por la reclamación aud ). Un token de identidad de OIDC también está destinado a ser extensible; Debería poder agregar reclamaciones personalizadas. Entonces, mi pregunta es: ¿Deben cambiar mis reclamaciones por audiencia?

Ejemplo

Tengo dos aplicaciones.

  • Aplicación X
  • Aplicación Y

Cada aplicación tiene dos roles

  • Lee
  • escribir

Los usuarios de ambas aplicaciones, junto con sus roles, se administran de forma centralizada en un único proveedor de identidad. ¿Sería una buena práctica cambiar la reclamación roles en función de la audiencia?

Por ejemplo,

Problemas de token para la aplicación X:

{
  ...
  "sub": "User 1"
  "aud": "app-x",
  "roles": ["read", "write"]
}

Problemas de token para la aplicación Y:

{
  ...
  "sub": "User 1"
  "aud": "app-y",
  "roles": ["read"]
}

¿O podría considerarse otro enfoque como una mejor práctica? ¿Quizás diferentes roles reclamaciones y alternar con ámbitos?

    
pregunta Andy N 03.12.2018 - 13:18
fuente

0 respuestas

Lea otras preguntas en las etiquetas