【发布时间】:2018-10-10 16:51:47
【问题描述】:
我相信3.1.2.1。 the specification 的 Authentication Request 部分说我们不能,但我觉得这太不可思议了,我想我会在这里询问一下。
在我的用户通过 OIDC 提供商成功登录后,有没有办法将我的用户重定向到我的域名的 any URL?
我的用例是:
- 用户访问我的应用并四处游荡
- 她发现了一些有趣的事情要做并且想要互动,例如,评论她觉得有趣的帖子
- 应用程序邀请她登录,她被重定向到 OIDC 提供商
由于我无法提前知道我的用户将在第 3 步访问的 URL,因此我希望将她重定向到那里,无论该 URL 可能是什么。
这可行吗? 我是否正确理解规范所说的不是? 如果规范确实说 no,您是否知道任何允许这种用户体验的解决方法?
【问题讨论】:
-
您使用的是商业 OIDC 提供商,还是您自己的?如果它是您自己的,则重定向到受信任域的通配符 URL 没有安全问题。您只是不想重定向到恶意域。
-
我正在使用“我自己的”OIDC 提供程序,基于this Django lib。谢谢你的回答
标签: openid openid-connect