@patoarchitekci @marekgrabarz @rwitkowski_asc No więc tak, przesłuchałem w drodze do ... Panie Władzo, to naprawdę moja krytyczna życiowa potrzeba ... tyle powiem w temacie wyjścia. To teraz o odcinku.
1/n
1/n
@patoarchitekci @marekgrabarz @rwitkowski_asc @marekgrabarz temat zna tak i to z praktyki, że aż mi trochę głupio że co nie powiem wyjdzie na hejt :), ale mam nadzieje że raczej będzie konstruktywnie i rzeczowo.
2/n
2/n
@patoarchitekci @marekgrabarz @rwitkowski_asc Główna rzecz (to samo było na #AzuredayPL - to do czego mam zastrzeżenie to przekazywanie że #OpenIDCOnnect to jest część #Oauth - tak nie jest. Ogólnie temat odcinka nie powinien brzemieć #OAUth i nie o to powinny być pytania.
3/n
3/n
@patoarchitekci @marekgrabarz @rwitkowski_asc Główna rzecz - #Oauth 2.0 to nie protokół a jak mówi #RFC - "The OAuth 2.0 Authorization Framework" - z naciskiem na frejmowork i #authorization. To determinuje wiele rzeczy z tego jak jest zbudowany i do czego powinien być używany.
4/n
4/n
@patoarchitekci @marekgrabarz @rwitkowski_asc W szczególności też to, co @marekgrabarz wspomniał, że #Oauth nie zakłada #JWT jako formatu tokenu. W zasadzie tokenu nie musi być bo może być byRef. I wtedy każdy kto założył, że token ma jakąś wiadomość jest w tak zwanej ... no wiecie gdzie
5/n
5/n
@patoarchitekci @marekgrabarz @rwitkowski_asc Z tego też powodu pytanie @maklipsa co powinno być albo nie powinno być umieszczane w Access token nie ma sensu - klient wogóle nie powinien zaglądać w #Oauth access token - bo on nie jest dla niego - cloudidentity.com/blog/2018/04/2…
6/n
6/n
@patoarchitekci @marekgrabarz @rwitkowski_asc @maklipsa Z tego wynika też wiele innych rzeczy - ale główna, ponieważ ludzie obserwują świat i uważają, że jest taki jak widzą to #Oauth jest używany do uwierzytelnienia na zasadzie "skoro jest tam ID" to znaczy że to jest tożsamość
7/n
7/n
@patoarchitekci @marekgrabarz @rwitkowski_asc @maklipsa I tutaj kolejna rzecz - w jednym miejscu pojawia się, że #OpenIDCOnnect jest użyty przed wydaniem access token do uwierzytelnienia - a to nie jest prawda. SIURPRYZA: #Oauth stwierdza tylko, że auth server "powinien" (should) wykonać uwierzytelnienie. To nie jest pewne
8/n
8/n
@patoarchitekci @marekgrabarz @rwitkowski_asc @maklipsa I wtedy co - a kuku, nagle mamy ID bez żadnego potwierdzenia tego ID. Hint: Facebook nie używa #OpenIDconnect wogóle (AFAIR) a jednak występuje tam pytanie o login i hasło i o dostęp do "scopes".
Możliwe jest wykonanie całego "logowania" przy użyciu #Oauth bez #OIDC
9/n
Możliwe jest wykonanie całego "logowania" przy użyciu #Oauth bez #OIDC
9/n
@patoarchitekci @marekgrabarz @rwitkowski_asc @maklipsa I stąd powstałe #OpenIDCOnnect który nie jest powiązany z #Oauth jako protokół. Ponieważ #Oauth jest "framework" to OIDC używa jego przepływów itp ale jest osobnym protokołem.
10/n
10/n
@patoarchitekci @marekgrabarz @rwitkowski_asc @maklipsa A ponieważ #OIDC jest zbudowany na #Oauth to korzystając z niego można zrobić też to co w ramach #Oauth czyli autoryzację przez access token itp.
Można jednak użyć #OIDC i skończyć tylko na uwierzytelnieniu.
11/n
Można jednak użyć #OIDC i skończyć tylko na uwierzytelnieniu.
11/n
@patoarchitekci @marekgrabarz @rwitkowski_asc @maklipsa ponieważ to co #OpenIDCOnnect definiuje to idtoken - IDToken wygląda jak access token, pachnie jak access token ale to NIE JEST ACCESS TOKEN.
Główny problem jaki widzę w kodzie to używanie IDToken jako AccessToken - działa, ale ...
12/n
Główny problem jaki widzę w kodzie to używanie IDToken jako AccessToken - działa, ale ...
12/n
@patoarchitekci @marekgrabarz @rwitkowski_asc @maklipsa W przeciwieństwie do Access token IDTOken jest przeznaczony dla klienta, i należy w niego zaglądać, a to co w nim jest jest dobrze wyspecyfikowane - dodatkowe informacje -> user infor endpoint jak dobrze powiedział @marekgrabarz
13/n
13/n
@patoarchitekci @marekgrabarz @rwitkowski_asc @maklipsa #OpenIDConnect jest protokołem uwierzytelnienia i federacji. To ważne - tutaj mogliście trochę to pociągnąć bo główne różnice OIDC vs #Oauth są tutaj: userinfo endpoint, well-known endpoint, discovery, client auto registration itp.
14/n
14/n
@patoarchitekci @marekgrabarz @rwitkowski_asc @maklipsa To czego mi zabrakło też to powiedzenie kiedy używać #OpenIDCOnnect a kiedy #Oauth ale to wyszło trochę z założenia, że oba są częściami jednego protokołu, a nie są.
15/n
15/n
@patoarchitekci @marekgrabarz @rwitkowski_asc @maklipsa Fajnie opowiedziane flows, ale tak tylko - gdybym nie wiedział o czym mówicie, to bym się trochę zgubił :). Dobrze by było zrobić najpierw #OIDC #OAuth 101 dla mniej zorientowanych.
16/n
16/n
@patoarchitekci @marekgrabarz @rwitkowski_asc @maklipsa Ważna różnica pomiedzy #Oauth a #openIDconnect to wyraźne i jasne zdefiniowanie w tym drugim, jakie są metody i jak walidować poprawność tokenów - tego nie ma w #Oauth i to jest główny problem gdzie większość developorów polega - nie sprawdzają go wogóle bo nie wiedzą jak
17/n
17/n
@patoarchitekci @marekgrabarz @rwitkowski_asc @maklipsa Mam nadzieję, że nie było "hejtu" i było konstruktywnie i że nic nie pokręciłem z tymi protokołami bo z pamięci pisałem :)
Tak że no to tak, ale wiecie - u mnie #ToTylkoTeoria :)
18/n
Tak że no to tak, ale wiecie - u mnie #ToTylkoTeoria :)
18/n
@patoarchitekci @marekgrabarz @rwitkowski_asc @maklipsa Ale ogólnie - good job, fajna rozmowa, dobry flow i dużo informacji.
Keep up the good job!
19/19
Keep up the good job!
19/19
