Uznavam ze to neni asi uplne OIDC pristup, ale autentifikaciu budeme vyuzivat len u nas, a ziadne tretie sluzby ktore by potrebovali formulare mat u nas.
To uplne chapem ze dev chce vyhajpovat svoju SPA apku, ale pozrime sa z pohladu security napr. na poziadavku prihlasovania s google kontom:
dali by ste svoje google prihlasovacie udaje vyhajpovanej (Vue+Vuetify) SPA a budete jej verit, ze si ich nikde neulozi/neodosle, ale iba pouzije na direct grant code flow?
Ironicky: Ak ano ozvite sa mi, poslem vam primitivny Vuetify codepen.io pen, kde mi vase Google hesla mozte zadat
Seriozne: Samozrejme, ze nezadate
Bojujem dennodenne s takymito poziadavkami od SPA devs. Seriozny pristup by bol implementovat registraciu ako dalsiu SPA appku, ktora to posle backendu a ten cez IdP admin API (Keycloak REST admin API) zaregistruje pouzivatela + IdP tema sa customizuje. A vsetky SPA apky pojdu cez Authorization Code with PKCE. Vo vysledku je jeden centralny IdP, kde sa da vsetko nastavit ako: password policy, OTP policy, IdP brokering (MojeId, Google, GitHub, LinkedIn, ....), user federation (LDAP, Kerberos), .... Pre malu apku to moze byt overkill na zaciatok, ale zjednodusi to autentifikaciu pre vsetky aplikacie s podporou OIDC (nielen SPA). Tiez to nie je vendor lock-in. Teraz moze byt Keycloak, v buducnoti iny OIDC IdP.
12 Odpovědí
4629 Zhlédnutí