peppelinux
commented
2 years ago alcune considerazioni di seguito
TEMPI DI VALIDITA’ DEI TOKEN I Token devono rimanere validi fino alla loro scadenza.
Criticità: suona ambiguo in relazione alle revoche. Tuttavia nella sezione LOGOUT è specificata la riduzione della validità in relazione alla revoca. Come segue.
LOGOUT
I token rilasciati da OP sono validi fino all’istante di scadenza indicato nel parametro exp.
La revoca anticipata di un token e la conseguente chiusura della sessione sull’OP può essere richiesta dal RP tramite ...PAIRWISE IDENTIFIER L’OP può individuare autonomamente un valore ricollegabile al Client per il “sector_identifier_uri” in caso non sia stato ...
Consiglio: lasciamo liberi gli implementatori con un esempio non normativo di calcolo di pairwise sicuro, l'obbligo di sector_identifier_uri è inteso qualora l'OP supportasse Dynamic Client Registration. SPID non lo supporta, quindi credo che potremmo tralasciare questi aspetti o indicare delle semplici buone pratiche, non normative, per la produzione del pairwise. Esempio di format string ottenuto dalla concatenazione delle seguenti variabili
{user_uid}{client_id}{provider_id}{SALT}
we need to align the implementations over this
https://www.agid.gov.it/sites/default/files/repository_files/spid-avviso-n41-integrazione_ll.gg_._openid_connect_in_spid.pdf