-
Notifications
You must be signed in to change notification settings - Fork 29
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
[Provider] SSO and force auth #123
Comments
l'unico dubbio che ho è che un refresh token, una volta utilizzato, non possa essere più utilizzato (CU1 dovrebbe comunque invalidare il refresh token, non lo considererei). Perlomeno nella implementazione ci muoveremmo così. Poi, per completezza, aggiungo di seguito le note di @damikael La differenza tra iat è exp può essere di massimo 30 giorni. La validità del refresh token deve essere calcolata a partire dall'autenticazione originaria, salve eccezioni stabilite da AGID in casi specifici. I casi d'uso previsti sono:
|
the example project must be deployed in https otherwise browser applies the samesite-cookies restrictions on cross domains in absence of HTTPS |
consider als oto merge/change/merge this PR for v0.7.0 and SSO |
Handle the SSO and the force authn if
"prompt": "consent login",
or ACR > L2The text was updated successfully, but these errors were encountered: