Closed bcryptobot closed 1 year ago
Текст замечания/предложения носит форму вопроса.
Ответ на вопрос: да, вместо OIDC можно использовать другие способы реализации элементов аутентификации и федерации (см. каким образом анонсируется OIDC в п. 4.1).
В том числе можно использовать расширения OIDC: OIDC Discovery (поиск СИ), OIDC Dynamic Client Registration (регистрация ПС), OIDC Federation (отношения доверия в федерации) и др. В том числе можно использовать расширения OAuth 2.0: OAuth 2.0 for Native Apps, OAuth 2.0 Device Authorization Grant, OAuth 2.0 Token Revocation и др.
Как видим, расширений много, охватить все их в одном стандарте невозможно.
Упомянутый RFC7636 (Proof Key for Code Exchange by OAuth Public Clients) не вводит новую коммуникационную схему, а усиливает стандартизируемую в Проекте схему Code. Проект не запрещает применение RFC7636.
Проект стандарта стандартизует только три схемы: Code, Implicit и Hybrid, хотя для Oauth2/OIDC разработаны и другие схемы, в частности схема "Proof Key for Code Exchange", предназначенная для мобильных приложений, для которых схемы Code, Implicit и Hybrid непригодны. В связи с этим возникает вопрос обязательности требований стандарта и возможности отклонения от требований стандарта для поддержки других схем, так как отказываться от аутентификации пользователей мобильных приложений вряд ли целесообразно.