我正在对一个客户端进行安全扫描,发现他们已经实现了OpenID。在阅读过程中,我了解了这个URL.众所周知的/openid配置,它有大量的信息(endpoint-{authorize,connect,userinfo,jwks},scopes等(公开给公众。
我有两个问题:
- 向公众公开这些信息是出于安全考虑吗?难道没有任何方法只对所需的用户可用吗
- 我是OpenID连接的新手,这是一篇实现自定义OpenID服务器的简单而好的文章
- 如果外部世界(如移动应用程序(需要,公开元数据是非常标准的。它的主要用途是由客户端应用程序中的安全库查找其他端点,以进行授权和令牌颁发
如果你没有互联网客户端,那么一些提供商会允许你关闭端点,或者只通过内部网络公开它。通常避免暴露更敏感的数据,如自定义声明和范围。
- 与其实现OpenID服务器,不如使用基于标准的免费服务器,然后专注于集成UI和API。由于OAuth非常具有体系结构,因此有大量的工作要做
在Curity,我们有一个功能齐全的免费版本,快速入门的方法是通过docker教程。然后登录开发人员门户并下载许可证文件。
运行安装后,您可以浏览到这些URL。然后集中精力集成您的应用程序:,
- http://localhost:6749/admin
- http://localhost:8443/oauth/v2/oauth-匿名/众所周知/openid配置
或者选择另一个提供商,并遵循使用大型构建块的相同方法。