протокол аутентификации openid connect в сети экстрасети

Question

У меня есть сценарий, где я должен использовать OpenID Connect в сети экстрасети. Когда приложение инициализируется, оно загружает документ метаданных из .well-known / openid-configuration, для которого оно делает запрос HTTP Get. Как получить документ метаданных openid connect в сети экстрасети без подключения к Интернету? Может ли openID connect работать без подключения к интернету?

Спасибо!

Answer 1

Если клиентское приложение не может взаимодействовать с внешним миром (но пользователь, который хочет войти в приложение, может), то вы можете:

• жестко запишите значения конфигурации из документа openid-configuration в вашем приложении;
• сделать то же самое для ключей шифрования, указанных в jwks_uri;
• используйте response type (например, id_token), который не требует вызова конечной точки токена из приложения;
• (расшифровывать и) проверять идентификатор токена, который вы получаете от локального перенаправления пользователя в приложении, используя указанные выше ключи шифрования.

Вы можете столкнуться с проблемами, если провайдер OpenID часто или нерегулярно вращает криптографические ключи, так как вам потребуется внешний механизм для их обновления.

Answer 2

Вам не требуется интернет для использования OpenID Connect. Когда я использую термин Интернет, я имею в виду сети, соединяющие обычные веб-сайты или всемирную паутину. Единственное требование протокола - это возможность использовать HTTP (и TLS) для связи между различными ролями (например: клиент, сервер авторизации, сервер ресурсов и конечный пользователь).

Вы можете использовать OpenID Connect внутри интрасети. Эта сеть может быть отделена от интернета. И есть возможность подключить несколько интрасетей через VPN. Наличие VPN отделит вас от Интернета, но позволит использовать HTTP-связь.

Так что да, можно использовать OpenID Connect без интернета, но для этого требуется сетевая конфигурация, как указано выше.