Estoy implementando una solución IAM para el cliente utilizando WSO2 Identity Server 4.5.1. Una de las (pocas) aplicaciones que se integran conmigo a través de Open ID connect ha descubierto un comportamiento inesperado, y necesito ayuda para resolver si este es el comportamiento adecuado para Open Id Connect, o si el producto se está comportando de manera incorrecta.
Cuando el usuario se autentica, se devuelve un token de ID y un código de autorización. ID_Token contiene todos los atributos de usuario y roles aplicables, y también lo hace el punto final Userinfo si se consulta después de que se intercambie el código de autorización. Después de un período de tiempo, la aplicación querrá actualizar su sesión y enviar al usuario al OP para obtener un nuevo token de ID. Esto funciona, pero por alguna razón, el ID-Token (y el punto final Userinfo) solo devolverá el "sub" en este segundo enfoque.
P: ¿Es así como se supone que funciona OIDC?
PS. El otro comportamiento extraño que he notado (que podría estar relacionado de alguna manera) es que las access_tokens generadas durante el intercambio de códigos para esta aplicación obtienen una vida útil de 300.000 segundos. Mucho más de lo que he configurado (en cualquier lugar). No sucede cuando access_tokens se entrega a través de la concesión implícita. No puedo ver ninguna razón por la que sucedería esto, pero si hay una, me alegraría escucharla.