es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

  • es.davy.ai/
  • Programación /
  • ¿Cómo garantizar el cumplimiento de GDPR / ToS del servicio al cliente al usar OpenID Connect?

¿Cómo garantizar el cumplimiento de GDPR / ToS del servicio al cliente al usar OpenID Connect?

01 Jun, 2023 Programación

Antecedentes

Nuestra aplicación web requiere el consentimiento activo del usuario en nuestros términos y condiciones. Cuando el usuario inicia sesión, verificamos si ya dio su consentimiento a la última versión de las condiciones. Si no se ha otorgado, el usuario debe dar su consentimiento y no podrá acceder a ninguna parte de la aplicación o sus APIs (a pesar de haber iniciado sesión correctamente).

Pregunta

Estamos utilizando OpenID Connect para la autenticación. Encontré las siguientes propiedades que sugieren que se puede requerir el consentimiento para condiciones personalizadas (consulte aquí):
* tos_uri
* policy_uri

¿Esto se refiere a requerir el consentimiento en las condiciones de los servicios del cliente?

¿Debería crear una reclamación personalizada para esto? (-> Los Términos de servicio podrían tener una nueva versión y necesitar una nueva aprobación.)

O alternativamente: ¿Es posible extender el flujo de OpenID Connect mostrando una pantalla de consentimiento personalizada antes de llamar a la URI de devolución de llamada?

Tags:  , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Como experto en IT especializado en oauth-2.0, jwt, openid-connect, puedo proporcionar las siguientes ideas:

    Las propiedades tos_uri y policy_uri en los metadatos de registro del cliente de OpenID Connect están destinadas principalmente a proporcionar un enlace a los términos de servicio y la política de privacidad del cliente. No están destinados principalmente a requerir el consentimiento a las condiciones de los servicios del cliente.

    Para requerir el consentimiento a condiciones personalizadas, podrías considerar la creación de una reclamación personalizada para ello. Sin embargo, este enfoque tiene algunas limitaciones. Por ejemplo, los términos de servicio pueden actualizarse regularmente, lo que significa que deberías asegurarte de que los usuarios aprueben la versión actualizada con frecuencia.

    Otra opción es extender el flujo de OpenID Connect mostrando una pantalla personalizada de consentimiento antes de llamar al URI de devolución de llamada. Este enfoque te permite brindar más contexto e información sobre las condiciones personalizadas a las que los usuarios deben otorgar su consentimiento.

    En resumen, si deseas requerir el consentimiento a condiciones personalizadas, deberías considerar la extensión del flujo de OpenID Connect mostrando una pantalla personalizada de consentimiento. Las propiedades tos_uri y policy_uri están destinadas a proporcionar enlaces a los términos de servicio y la política de privacidad del cliente, y no están destinadas principalmente a requerir el consentimiento a las condiciones de los servicios del cliente.

Comments are closed.