Podání #20712
uzavřenýImplementační kompatibilita auth.pirati.cz a MojeID
0%
Popis
ladies and gentlemen,
tohle je upozornění na možný budoucí problém, spíše k diskuzi a prověření, anžto nemám dostatečné znalosti to identifikovat jako bug. oč jde:
při připojování Piroplácení k MojeID pro účely Otevřených měst jsem si všiml, že auth.pirati.cz posílá klientské aplikaci informace o uživateli (jméno, bydliště...) jiným způsobem, než MojeID.
auth.pirati.cz je zvláštním způsobem zabaluje do access tokenu, MojeId je posílá zvlášť.
Python kód, z něhož lze vyčíst nutnou rozdvojku, je zde:
https://gitlab.com/photonStar/piroplaceni/blob/jh/src/keycloak_oidc/views.py (fce callback, řádky 186-190)
MojeId, jak známo, spravuje CZ NIC, takže bych jim dost věřil, že to dělají podle standardů.
otázka je: děláme my něco nestandardně, nebo je tohle v SSO "dovoleno"?
platí-li to první, budou se nestandardnosti a problémy s přibývajícími aplikacimi napojenými na pirátskou identitu vršit, a tudíž by to chtělo opravit "zavčas".
je mezi přítomnými nějaký SSO guru, který by to dokázal rozlousknout? nebo znáte někoho takového?
(ps. pomíjím drobnosti specifické pro auth.pirati.cz, jako je preferred_username, ty jsou "snad" ok )
díky za pozornost ;)
Jarmil
Soubory
Aktualizováno uživatelem Martin Rejman před více než 5 roky(ů)
- Stav změněn z Nový na V řešení (diskutuje se)
Ahoj Jarmile,
jelikož kód SSO není nijak na naší straně upravován, jde o implementační záležitost na straně SSO Keycloak.
Jaký protokol tedy dle tedy neimplementují správně ?
Pro budoucí čtenáře upřesním, že auth.pirati.cz ŽÁDNÉ informace o bydlišti nikdy neposílá, neboť takovými informacemi NEDISPONUJE.
Aktualizováno uživatelem Martin Rejman před více než 5 roky(ů)
- Předmět změněn z je správná implementace SSO na auth.pirati.cz ? na Implementační kompatibilita auth.pirati.cz a MojeID
Aktualizováno uživatelem Jarmil Halamíček před více než 5 roky(ů)
doplnění, nejprve pro budoucí čtenáře a generace co přijdou po nás :)
MojeID naopak disponuje informacemi o bydlišti a mnohými jinými, které jí svěříte při registraci účtu. Proplácení z nich tahá pouze jméno, příjmení, email. Rozsah předaných dat můžete v MojeID změnit při přihlášení.
k podstatě problému: viz přiložený soubor.
porovnal jsem informace vrácené lokální instalací Keycloaku a informace vrácené MojeID. Je vidět že se dost podstatně liší.
zda je to porušení protokolu nebo ne, neumím posoudit (jak už jsem psal výše).
Aktualizováno uživatelem Martin Rejman před více než 5 roky(ů)
- Stav změněn z V řešení (diskutuje se) na Dokončen
Napojení na MojeID není pro naše aplikace třeba, uzavírám.