Open peppelinux opened 2 years ago
l'unico dubbio che ho è che un refresh token, una volta utilizzato, non possa essere più utilizzato (CU1 dovrebbe comunque invalidare il refresh token, non lo considererei). Perlomeno nella implementazione ci muoveremmo così.
Poi, per completezza, aggiungo di seguito le note di @damikael
La differenza tra iat è exp può essere di massimo 30 giorni. La validità del refresh token deve essere calcolata a partire dall'autenticazione originaria, salve eccezioni stabilite da AGID in casi specifici. I casi d'uso previsti sono: CU 1 (senza rotazione)
the example project must be deployed in https otherwise browser applies the samesite-cookies restrictions on cross domains in absence of HTTPS
@francescatronconi ^
consider als oto merge/change/merge this PR for v0.7.0 and SSO https://github.com/italia/spid-cie-oidc-django/pull/224
Handle the SSO and the force authn if
"prompt": "consent login",
or ACR > L2