我试图找出RP(中继方)和OP(OpenID提供商)是否可以位于同一个域中。我们将来有一个用例来实现内部SSO,并被要求在每个客户端的同一域上实现授权。
我们共有3个域名,并且要求为每个域名实施授权。这意味着每个RP都将是它自己的OP。显然,这解决了3个客户端中的两个问题,这与会话有关。
我认为这是一种糟糕的做法,但我无法找到任何文件或案例研究来加强我的观点。
这似乎是对规范的误用。我想这个的原因是:
它允许应用和网站开发人员对用户进行身份验证,而无需承担存储和管理密码的责任面对互联网,而互联网上的人们试图破坏用户的帐户自己的收获。
鉴于我们在同一系统上调用授权,我们仍然有责任存储和管理密码。
非常感谢!
答案 0 :(得分:1)
这不是OIDC的典型用例,但我认为这不是一个糟糕的主意。规范中没有任何内容表明您不能在同一个域中使用OIDC。
据我所知,Google已经为他们的所有产品实施了类似OIDC的流程,并且都在谷歌子域下运行。