4. Flusso

Consultazioni pubbliche Linee Guida OpenID Connect in SPID
1

Il modello di flusso è l’ « OpenID Connect Authorization Code Flow » che è infatti l’unico flusso previsto da iGov.

L’Authorization code flow restituisce un codice di autorizzazione che può essere scambiato per un ID token e/o un access token; Questo flusso è anche la soluzione ideale per sessioni lunghe o aggiornabili attraverso l’uso del refresh token. L’Authorization code flow ottiene l’authorization code dall’authorization endpoint dell’OpenID Provider e tutti i token sono restituiti dal token endpoint.

Continua a leggere su Docs Italia.

2

Manca un flusso relativo alla dynamic client registration, vuol dire che un OP SPID non e’ tenuto a supportarla?

Nel sequence diagram:

  • non c’e’ la redirect dal RP allo user-agent al OP; manca la consegna del code allo user-agent.
  • “Utente” in realta’ andrebbe indicato come User-Agent.

Davide Vaghetti (GARR)