問題タブ [openid-connect]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
python - Python の OpenID Connect プロバイダー
Python で OpenID Connect プロバイダーを実装する方法を探していましたが、Roland Hedberg によって作成されたこのライブラリを見つけました ( OpenID で推奨されています)。しかし、私はドキュメント、例を読みましたが、それについて大きな知識がない人にとっては例が複雑すぎると思います(プロバイダー、wsgi、およびcliが混在しています)。
私の質問は、このライブラリを実装するためのより簡単な例やチュートリアルを知っている人はいますか、それとも OAuth2 ライブラリの上にプロバイダーを実装しようとするべきですか?
google-app-engine - OpenId Connect エンドポイントが「見つかりません」を返す
OpenID 2.0 を OAuth 2.0 ログインに移行しています ( https://developers.google.com/accounts/docs/OpenID?hl=jaを参照)。新しい OpenID 2.0 識別子を、DB にある古い/既存の OpenID Connect 識別子にマップしたいと考えています。
アクセス トークンと openid_id の認証コードを交換するために、 https://www.googleapis.com/oauth2/v3/tokenエンドポイントを使用する OAuth 応答 (redirect_uri) を処理するところです。このフィールドは、DB 内の既存のユーザーを選択するために使用します。
ただし、https://www.googleapis.com/oauth2/v3/tokenへの呼び出しは「見つかりません」を返します。理由はありますか?
私は scribe 1.3.7 を使用しています。これが私のコードです。
google-openid - 最初のログイン後の OpenID Connect/JWT の適切なフローは何ですか?
Google の実装で OpenID Connect を実装する方法を調査していますが、ID トークンを最初に受け取った後、ユーザーとのトークンベースのリクエスト認証を処理する方法が不明です。私の質問は、「標準的な」慣行とは何ですか? 少なくとも2つのオプションがあるようです。
OIDC プロバイダーの ID トークンをヘッダーまたは Cookie でクライアント JS に渡し、後続の REST API 呼び出しでベアラー ヘッダーでトークンを渡すようにします (要求ごとにサーバー側で検証します)。
新しい JWT を生成し、#1 と同じプロトコルに従います。
JWT の有効期限が切れた場合、どのように進めるのが最善ですか? アプリケーションが JWT を生成している場合、新しいものを自動的に生成する典型的なプロセスはありますか (オプション #2)? OIDC プロバイダーのトークンを認証トークンとして使用する場合 (オプション #1)、prompt=none を使用して認証プロセスを繰り返すのが一般的ですか?
ログイン中にサーバーセッションに保存される「状態」値を使用する代替手段があるかどうかも興味があります。サーバー固有のセッションを作成することは避けたいです。状態に JWT を使用し、認証コードを使用してクライアントから返されたときにそれを検証することは安全ですか?
私は認証機能にのみ関心があり、OAuth によって提供される追加の API はこの時点では必要ありません。
oauth-2.0 - SSO ソリューションの実装
openID 1 に基づく現在の SSO システムを、現代のニーズにより適した認証および承認ソリューションに置き換えたいと考えています。
避けたいことの 1 つは、ログイン、パスワードのリセットなど、さまざまなフローのためにエンド ユーザーを ID プロバイダーにリダイレクトさせることです。
証明書利用者と ID プロバイダー間のリダイレクトに依存しない安全なソリューションはありますか?
ありがとう
owin - UseOpenIdConnectAuthentication の後、セキュリティ トークンからのクレームを OwinConext.User にある Controller.User (現在の HttpContext) に入れる方法は?
個人のユーザー アカウントを持つ VS2013 MVC5 プロジェクトがあります。それが許可される唯一の認証にStartup {Configuration(IAppBuilder app)}
なるように変更しました。UseOpenIdConnectAuthentication
ユーザーは、すぐに使用できる MVC プロジェクト テンプレート プラミングを使用して、AspNetIdentity DB に登録できます。登録後、ユーザーは OIDC でログインします。
OpenID Connect STS (AspNetIdentity を使用した IdentityServer3) は、クレームとロールを含むセキュリティ トークンを返します。これらのクレームは、 で認証ClaimsPrincipal
されたから入手できますRequest.GetOwinContext().Authentication.User
。
ただし、これらのクレームはController.User
(現在の HTTP 要求コンテキスト) から欠落しています。
ClaimsPrincipal
2つを一致させるのは良いことですか?
質問: その場合、どこでどのようにすればよいですか? 私は専門家ではありませOpenIdConnectAuthenticationNotifications.SecurityTokenValidated
ん
Application_PostAuthenticateRequest
。
System.Web
これは、デフォルトの MVC5 プロジェクト認証ミドルウェアではなく、MVC5 と OpenIdConnect 用の OWIN ミドルウェアを 混在させることの副作用であることを認識しています。
openid - OpenID、OpenID2、Open Connect の未来は?プロバイダーを実装する価値はありますか?
OpenID ログインはどこでも利用できるので、情報とログインを制御できるように、サーバーに独自のプロバイダーを実装することを検討する必要があると判断しました。
これは、驚くべきことに、非常に複雑で困難です。
多くのサイトで OpenID ログインが許可されていますが (このサイトなど)、次の問題が見つかりました。
- 多くの単純な「独自のロール」単一 ID OpenID プロバイダー ソリューションがベーパーウェアになりました。
- OpenID には、非常に深刻なセキュリティ上の問題が進行中です。
http://en.wikipedia.org/wiki/OpenID#Security
- 多くの OpenID プロバイダーが消滅したようです (MyOpenID.com、getopenid.com など)。
- プロトコルは、以前のバージョンが削除されて常に変更されているようです (おそらくセキュリティ上の問題が原因でしょうか?)
例として、Google Plus/Profiles をデリゲートとして使用することに関する 2013 年 8 月の SO に関するこのソリューションでは、OpenID 2.0 サポートがこの 4 月までに Google から削除され、OpenID Connect に置き換えられるというエラーが Google から取得されます。
OpenID を Google に委任します (Google Apps ではありません)
シンプルな OpenID Connectの単一 IDプロバイダーを提供している人はいますか? OpenID の OpenID プロバイダー ソフトウェアのリストを見ると、OpenID Connect ソリューションについてまったく言及されていません。そのページが 4 年間更新されていないことは言うまでもありません。
http://wiki.openid.net/w/page/12995226/Run%20your%20own%20identity%20サーバー
このすべての情報に目を通すと、私は本当にうれしく思います。私は数年前に自分のサーバーに OpenID 2.0 を実装する計画を棚上げしました。それはすでに時代遅れになりつつあるように見えるためです。身元。単一のパッケージをインストールして構成ファイルを編集して実行するだけでは済まないのは驚くべきことです。より単純な実装のほとんどは、PHP をインストールして使用することを伴いますが、それには学ぶ必要がある独自のセキュリティ問題があります。
では、OpenID の専門家であり、ID プロバイダーをセットアップする方法についてアドバイスをくれる人はいますか? 自分の情報と電子メール アドレスの配布を管理し、恒久的な ID を持ちたいと思っていますが、標準が変わり続ける場合、それは実際には恒久的ではありません。