Open ID Connect

Question 1

Na czym polega problem lokalnej bazy użytkowników vs zewnętrzny serwis?

Answer 1

Np. nasza własna baza danych vs Google/FB/Twitter i ich serwisy do autentykacji.
Ponadto jeden IdP (Identity Provider) może obsługiwać wiele aplikacji. Czy to oznacza Single Point of Failuer - nie jeśli aplikacja jest redundantna.

Question 2

Kiedy został ustaniowiony Open ID Connect?

Answer 2

Został ustanowiony w 2014 roku.

Question 3

Czy był to pierwszy system do autentykacji/autoryzacji?

Answer 3

Nie, np. wcześnieł był Open ID 1, Open ID 2, SAML

Question 4

Z jakich głównych elementów składa się Open ID Connect?

Answer 4

1. Łatwe do obsługi tokeny - klient otrzymuje token zawierający informacji identyfikujące w formie JWT (Java Web Token). Jest to tzw. ID Token.
   JWT Token może używać róznego rodzaju algorymtów szyfrujących, hashujących i kompresji.
2. Bazowany na protokole oAuth 2.0 - wsparcie dla aplikacji mobilnych, desktopowych i webowych. Oznacza to również posiadanie jednego protokołu do uwierzytelnienie i autoryzacji.
3. Prostota - Open ID Connect występują w prostszych i bardziej zaawansowanych postaciach - lepszych dla Enterprise

Question 5

Czym różni się oAuth 2.0 vs Open ID Connect?

Answer 5

oAuth 2.0 służy do delegowania autoryzacji, a Open ID Connect do “federated authentication”.

Question 6

Czym jest Identity Token?

Answer 6

Przypomina dowód osobisty, który jest w formacie JWT i jest podpisany przez Identity Provider. Żeby go uzyskąc klient musi wysłać żądania do IP

Question 7

Jak nazywa się tożsamoś użytkownika w JTW?

Answer 7

sub (subject)

Question 8

Jak nazywa się organ wydający token?

Answer 8

iss (issuing authority)

Question 9

Jak nazywa się grupa użytkowników dla której wygenerowany jest token?

Answer 9

aud (audience)

Question 10

Czym jest parametr nonce tokenu JWT?

Answer 10

Służy do walidacji tokenu. Pozwala powiązać sesję użytkonwika z ID tokenem. Przeciwdziała atakom replay.

Question 11

Jak wykorzystać parametr nonce?

Answer 11

Jeśli jest obecny w tokenie:

1. Klient powinien zweryfikować czy wartość nonce jest taka sama jak ta przesłana razem a AuthReq.
2. Jeśli nonce był cześcią AuthReq to serwer musi go zwrócić razem z tokenem. Serwer nie modyfikuje w żaden sposób wartości nonce. Jest ona case-sensitive.

Question 12

Jak nazywają się parametry określające kiedy i jak (pod kątem siły) użytkownik został uwierzytelniony?

Answer 12

auth_time i acr

Question 13

Jak nazywa się parametr mówiący o tym kiedy użytkownik dokonał uwierzytelnienia?

Answer 13

iat

Question 14

Jak nazywa się parametr mówiący o tym kiedy token wygasa?

Answer 14

exp

Question 15

Czy token JWT może zawierać dodatkowe dane?

Answer 15

Tak, dowolny pary wartości - nazywanych “claims”

Question 16

Czy token może być zweryfikowany po stronie serwera?

Answer 16

Tak, token JWT powinien być podpisany

Question 17

Czy token jest szyfrowany?

Answer 17

Nie, ale może zostać zaszyfrowany w celu dodatkowej ochrony.

Question 18

Jak klient nazywany jest w terminologii OpenID Connect?

Answer 18

Relying Party (RP)

Question 19

Gdzie powinno przebiegać potwierdzenie tożsamości użytkownika?

Answer 19

Zawsze w obrębie bezpiecznego kontekstu - po stronie serwera.

Question 20

Czy protokół OpenID Connect definiuje proces sprawdzenia tożsamości?

Answer 20

Nie

Question 21

Jaki protokół jest wykorzystywany do uzyskania token’u?

Answer 21

oAuth 2.0

Question 22

Jakie przepływy uwierzytelnienie oferuje oAuth 2.0?

Answer 22

1. Authorisation code flow - najczęstszy sposób. Używany przez aplikacji webowe i natywne. Wymaga przekierowania na inną stroną z formularzem logowania. W ten sposób użytkownik uzyskuje od OP. Za pomocą “back-channel request” uzyskiwany jest ID token. Dzięki temu przeglądarka bezpośrednio nie ma dostępu do tokenu.
2. Implicit flow - dla aplikacji JS, które nie mają backendu. ID token jest uzyskiwany bezpośrednio po przekierowaniu od OP. Bez “back-channel request”.
3. Hybrid-flow - rzadko używany. Pozwala frontendowi i backendowi na uzyskiwanie token’ów niezależnie od siebie. Kombinacja code i impicit flow.