Me han informado de una aplicación, en un cliente, que dice usar OIDC para autenticar a los usuarios. Sin embargo, esto se hace a través de un flujo no estándar que me resulta difícil evaluar desde un punto de vista de seguridad.
Comienza con un SPA frontend que inicia una concesión implícita OAuth2 con el alcance openid. Es importante tener en cuenta que esto es no una concesión implícita de OIDC, ya que solo se devuelve un símbolo de acceso. El token se usa luego en las comunicaciones con la API de back-end, que usa el token para solicitar atributos del punto final de información del usuario. El usuario se considera autenticado como el usuario devuelto por userinfo.
Mi primera evaluación es que esto debería estar bien, siempre y cuando el certificado TLS en el punto final de información de usuario esté validado. Sin embargo, no me siento cómodo al decirle esto al cliente, ya que el flujo parece carecer de algunas de las partes clave de OIDC, y nunca he visto este flujo promovido por nadie.