Google обновляет свою реализацию OpenID Connect, чтобы полностью соответствовать спецификациям, что-нибудь сломается для меня?

Question

Google обновляет свою реализацию OpenID Connect, чтобы полностью соответствовать спецификациям, что-нибудь сломается для меня?

Google обновил свои конечные точки OpenID Connect, чтобы они полностью соответствовали спецификациям, как часть усилий по сертификации OpenID. Я полагаюсь на OpenID Connect для входа моих пользователей в Google. Должен ли я сделать что-либо в качестве проверяющей стороны, чтобы избежать разрыва из-за этих изменений?

3

google-oauth openid-connect google-openid

Источник

user72176 23 апр '15 в 17:30

2 ответа

Решение

Ну, я думаю, именно поэтому, когда я захожу на https://myapps.developer.ubuntu.com/ у меня появляется следующее сообщение "OpenID fail Disabled account"

На веб-сайте идентификации разработчиков Google я заметил следующее сообщение: "Важно: OpenID 2.0 больше не поддерживается. Если ваше приложение использует OpenID 2.0, вы должны перенести свое приложение к дате закрытия 20 апреля 2015 года, как показано в расписании миграции".

Итак, мой вопрос - это Ubuntu, который должен обновлять эти вещи на своих серверах?

0

Источник

user4828314 24 апр '15 в 11:05

Другие вопросы по тегам google-oauth openid-connect google-openid

user72176 23 апр '15 в 17:30 2015-04-23 17:30 · Accepted Answer · 2015-04-23 17:30

Это зависит от того, как вы используете OpenID Connect с Google. Если вы выполняете динамическое обнаружение, выбирая https://accounts.google.com/.well-known/openid-configuration в соответствии с рекомендациями документов, то способ взаимодействия ваших серверов с Google изменится, но это повлияет только на ваш реализация не может обрабатывать более новые, более специфичные ответы.

С другой стороны, если вы жестко закодировали различные конечные точки напрямую (то есть конечные точки аутентификации и токена), то вы изолированы от этих изменений, но вам следует подумать о переходе на новые конечные точки.

Основные изменения в новых конечных точках включают в себя:

Идентификатор токена эмитента iss претензии) изменения от accounts.google.com в https://accounts.google.com (во время миграции peroid, вы должны принять любое значение)
Если твой response_type включает в себя id_token, вы должны включить nonce или ваши запросы будут с ошибкой.

Если вы используете библиотеку OpenID Connect, совместимую со спецификацией, то теоретически все должно работать как прежде.

Чтобы избежать возможных проблем в течение периода миграции (или если ваш веб-сайт внезапно сломался), вы можете жестко закодировать следующий URL, чтобы получить предыдущий документ обнаружения: https://google.com/accounts/o8/well-known-openid-configuration-old.json (или использовать значения внутри, чтобы жестко кодировать конечные точки аутентификации и токена). Поскольку этот документ указывает на старые версии конечных точек, вы получите старое поведение. Затем вы можете протестировать свои продукты с последними конечными точками (как указано в текущем документе обнаружения) на досуге.

Чтобы сравнить различия или просмотреть полностью новое и старое, посмотрите эту суть.