Flujo OIDC no estándar: ¿Qué tan seguro es esto?

0

Me han informado de una aplicación, en un cliente, que dice usar OIDC para autenticar a los usuarios. Sin embargo, esto se hace a través de un flujo no estándar que me resulta difícil evaluar desde un punto de vista de seguridad.

Comienza con un SPA frontend que inicia una concesión implícita OAuth2 con el alcance openid. Es importante tener en cuenta que esto es no una concesión implícita de OIDC, ya que solo se devuelve un símbolo de acceso. El token se usa luego en las comunicaciones con la API de back-end, que usa el token para solicitar atributos del punto final de información del usuario. El usuario se considera autenticado como el usuario devuelto por userinfo.

Mi primera evaluación es que esto debería estar bien, siempre y cuando el certificado TLS en el punto final de información de usuario esté validado. Sin embargo, no me siento cómodo al decirle esto al cliente, ya que el flujo parece carecer de algunas de las partes clave de OIDC, y nunca he visto este flujo promovido por nadie.

    
pregunta Björn Vildljung 27.04.2018 - 10:20
fuente

1 respuesta

0

No puedo ver una vulnerabilidad en el flujo descrito. Sin embargo, muchas personas mucho más inteligentes y competentes trabajan en estándares, como OIDC. Y probablemente hay una razón por la que lo diseñaron de la manera que lo hicieron. Por lo tanto, argumentaría que usar un flujo no estándar es peligroso, incluso si el problema no es inmediatamente obvio para nosotros.

    
respondido por el Peter Harmann 27.04.2018 - 11:03
fuente

Lea otras preguntas en las etiquetas