Aunque creo que OpenID 2.0 es un protocolo de autenticación más limpio y mejor que OpenID Connect, tengo que implementar un IdP de OpenID Connect.
Un punto que me gusta en OpenID 2.0 es que el IdP puede devolver una identidad firmada a la parte que confía (a través del agente del usuario) y no hay un viaje de ida y vuelta adicional entre el RP y el IdP.
A primera vista, OpenID Connect define un flujo "Implícito" que me parece bien. Pero cuando veo los detalles, parece que está diseñado solo para ser usado con "Clientes implementados en un navegador usando un lenguaje de scripting".
Pensé que de todos modos podría usar el flujo "Implícito" con un RP del lado del servidor, usando el Modo de respuesta de "consulta", pero el " OAuth 2.0 Prácticas de codificación de tipos de respuesta múltiple "documento prohíbe explícitamente el uso del modo de respuesta" consulta "con el tipo de respuesta id_token ...
¿Por qué está prohibido? Y de manera más general, ¿por qué el flujo "Implícito" está mal visto?
Tal como lo entiendo, siempre que los tokens de ID estén firmados y los RP no utilicen (y verifiquen) los puntos de acceso, el flujo "Implícito" debe ser seguro.