Comments 4
Статья хорошая, спасибо!
В свое время потратил много времени, чтобы разобраться со всеми тонкостями OAuth 2.0 и OIDC, но некоторые вещи всё ещё кажутся избыточными и не очень понятными.
Моя проблема в том, что мне важно понимать смысл этих всех ухищрений. То как они работают с функциональной точки зрения - понятно. Но они создавались с какой-то целью, чтобы противостоять каким-то уязвимостям. Очень мало в подобных статьях пишут именно о векторах атаки, как и каким образом данные могут быть скомпрометированы и применены в реальной жизни.
Если бы это раскрывалось в стиле - вот этот сервис не использует PKCE, а значит его можно атаковать вот таким-то способом (и подробное описание эксплуатации уязвимости) - было бы очень круто и полезно почитать.
Честно говоря не самая удачная статья - многие важные моменты упущены, а схемы не точны. Вот в этой статье принцип получения токена и его обновления описаны гораздо подробнее и понятнее: https://habr.com/ru/company/flant/blog/475942
Добрый день! Мне тоже нравится статья, которую вы привели в пример. Она более всеобъемлющая, да и картинки там очень хорошие.
Статья, которая я написал, более узконаправленная, сфокусированная лишь на небольшом кусочке OIDC. Она должна отвечать на вопросы по типу: "А как мне получить токен, если у меня два сервера, на которых нет браузера?" Изначально она была страницей документации для dexidp.io, в разработке которого мы принимаем участие, но получилась более художественной, чем нужно.
В любом случае, спасибо большое за обратную связь!
"Пользователь инициирует процесс, обратившись к endpoint'у авторизации IdP" - в то время как на диаграмме показано как пользователь в первую очередь обращается к RP. Поправьте меня пожалуйста, если это не ошибка в статье.
P.s. речь идет о Authorization Code
OpenID Connect (OIDC): Как получить токен?