Timings e validità dei token

[peppelinux]

Elementi dell'Avviso 41 da integrare o revisionare in docs italia

• [ ] L’Authorization Code deve avere un periodo di validità pari a 5 minuti e bisogna verificare che non sia stato usato precedentemente.

• [ ] Authorization request token - La differenza tra “iat” e “exp” è a discrezione del Client.

• [ ] Il parametro “expires_in” nella Response Token non deve essere superiore a 300 secondi.

• [ ] Il parametro “exp” nell’ID Token deve essere pari a “iat” + 5 minuti. L’ID Token deve avere un periodo di validità pari a 5 minuti e bisogna verificare che non sia stato usato precedentemente. Il parametro “exp” nell’ID Token rilasciato a seguito di richiesta di refresh deve essere pari a “iat” + 30 giorni – tempo dell’autenticazione originaria.

• [ ] Il parametro “exp” nell’Acces Token deve essere pari a “iat” + 15 minuti. L’Access Token deve avere un periodo di validità pari a 15 minuti e deve essere riutilizzabile fino alla scadenza.

• [ ] I Token devono rimanere validi fino alla loro scadenza. La scadenza di un token non incide sulla scadenza dei token collegati. In caso di rinnovo a seguito dell’utilizzo del refresh token, i precedenti token devono essere resi inutilizzabili, se non già scaduti.

• [ ] La tolleranza in eccesso o in difetto sui valori “iat” e “exp” deve essere massimo di 3 minuti.

• [ ] La revoca di un token da parte dell’utente determina anche la revoca dei token collegati.

• [ ] Refresh token

[peppelinux]

Duplicato qui https://github.com/italia/spid-cie-oidc-docs/issues/104

@fmarino-ipzs

[fmarino-ipzs]

@peppelinux, la #104 è più generale e definisce il meccanismo di utilizzo del refresh token in relazione allo scope offline_access e non solo le questioni relative a timings e validità del token.

[damikael]

Proponiamo di inserire un paragrafo "Timings" in Security Consideration per riportare i tempi di validità rispettivamente per SPID e per CIE.