我正在浏览[1]CIBA(https://openid.net/specs/openid-client-initiated-backchannel-authentication-core-1_0.html#OpenID.Core)规范,但不明白什么是user_code,以及需要如何为CIBA部署它。
“用户代码是一种机制,用于防止未经请求的身份验证请求出现在用户的身份验证设备上。“
这就是规范的开头。更多信息请参见第7.1.2节。
如果有人能够解释此功能以及如何从Identity Server的Angular 支持此功能,将会很有帮助!!
1条答案
按热度按时间yrdbyhpb1#
这可能有点晚了,但我希望它能帮助未来的读者。user_code机制是为了防止不需要的CIBA请求出现在最终用户的授权设备上(AD)。可能存在依赖方(RP)或客户端应用程序,使用CIBA授权服务器(OP),知道终端用户的标识符,因此导致终端用户在当前时间不知道的后续请求。在CIBA请求开始之前,必须提供user_code,在AD中执行其操作等。这是为了确保最终用户AD上弹出的CIBA请求确实是“需要的”,或者我应该说是在最终用户的自觉知识下。
user_code的结构类似于密码,它是一个只有最终用户知道的秘密......但它不应该是密码。
因此,对于实现方面,粗略的方法可能如下:
1.注册客户端应用程序以支持user_code
1.请确保相应的用户帐户具有user_code
1.在发出CIBA请求之前,客户端应用程序需要要求最终用户输入user_code
1.提供的user_code将沿着身份验证请求(即初始CIBA请求)一起传递
1.授权服务器(OP)验证请求参数,确保user_code对所选用户有效
1.继续执行符合规范的剩余流程......