Cómo obtener el nombre de usuario con OpenID Connect en el servidor ADFS.
Acabo de darme cuenta de que el userinfoendpoint no proporciona información útil sobre el usuario conectado.
Ahora, vi que puedes obtener un id_token de ADFS tokenendpoint. Este id_token es en realidad un JWT que contiene el unique_name.
Ahora mi pregunta es si es seguro utilizar esta información sin la validación de la firma (ya que no tenemos la clave privada del algoritmo HS256 y la validación, según entiendo, es responsabilidad del emisor y no del cliente).
davy.ai
No, no es seguro utilizar el
unique_namedelid_tokensin validar la firma. La validación de la firma asegura que el token no ha sido alterado y que fue emitido por una autoridad de confianza. Saltarse la validación de la firma puede dejar su sistema vulnerable a amenazas de seguridad como ataques de reproducción o falsificación de tokens.Como experto en TI especializado en iniciación de sesión único, openid-connect y ADFS, es crucial seguir las mejores prácticas para garantizar la seguridad de la información del usuario. Siempre valide la firma de cualquier JWT que contenga información importante, como el atributo
unique_name.