Podání #20712
uzavřený
Implementační kompatibilita auth.pirati.cz a MojeID
0%
Popis
ladies and gentlemen,
tohle je upozornění na možný budoucí problém, spíše k diskuzi a prověření, anžto nemám dostatečné znalosti to identifikovat jako bug. oč jde:
při připojování Piroplácení k MojeID pro účely Otevřených měst jsem si všiml, že auth.pirati.cz posílá klientské aplikaci informace o uživateli (jméno, bydliště...) jiným způsobem, než MojeID.
auth.pirati.cz je zvláštním způsobem zabaluje do access tokenu, MojeId je posílá zvlášť.
Python kód, z něhož lze vyčíst nutnou rozdvojku, je zde:
https://gitlab.com/photonStar/piroplaceni/blob/jh/src/keycloak_oidc/views.py (fce callback, řádky 186-190)
MojeId, jak známo, spravuje CZ NIC, takže bych jim dost věřil, že to dělají podle standardů.
otázka je: děláme my něco nestandardně, nebo je tohle v SSO "dovoleno"?
platí-li to první, budou se nestandardnosti a problémy s přibývajícími aplikacimi napojenými na pirátskou identitu vršit, a tudíž by to chtělo opravit "zavčas".
je mezi přítomnými nějaký SSO guru, který by to dokázal rozlousknout? nebo znáte někoho takového?
(ps. pomíjím drobnosti specifické pro auth.pirati.cz, jako je preferred_username, ty jsou "snad" ok )
díky za pozornost ;)
Jarmil
Soubory
Aktualizováno uživatelem Martin Rejman před asi 5 roky(ů)
- Stav změněn z Nový na V řešení (diskutuje se)
Ahoj Jarmile,
jelikož kód SSO není nijak na naší straně upravován, jde o implementační záležitost na straně SSO Keycloak.
Jaký protokol tedy dle tedy neimplementují správně ?
Pro budoucí čtenáře upřesním, že auth.pirati.cz ŽÁDNÉ informace o bydlišti nikdy neposílá, neboť takovými informacemi NEDISPONUJE.
Aktualizováno uživatelem Martin Rejman před asi 5 roky(ů)
- Předmět změněn z je správná implementace SSO na auth.pirati.cz ? na Implementační kompatibilita auth.pirati.cz a MojeID
Aktualizováno uživatelem Jarmil Halamíček před asi 5 roky(ů)
doplnění, nejprve pro budoucí čtenáře a generace co přijdou po nás :)
MojeID naopak disponuje informacemi o bydlišti a mnohými jinými, které jí svěříte při registraci účtu. Proplácení z nich tahá pouze jméno, příjmení, email. Rozsah předaných dat můžete v MojeID změnit při přihlášení.
k podstatě problému: viz přiložený soubor.
porovnal jsem informace vrácené lokální instalací Keycloaku a informace vrácené MojeID. Je vidět že se dost podstatně liší.
zda je to porušení protokolu nebo ne, neumím posoudit (jak už jsem psal výše).
Aktualizováno uživatelem Martin Rejman před téměř 5 roky(ů)
- Stav změněn z V řešení (diskutuje se) na Dokončen
Napojení na MojeID není pro naše aplikace třeba, uzavírám.