[Avviso 41] Cambiamenti

[peppelinux]

we need to align the implementations over this

https://www.agid.gov.it/sites/default/files/repository_files/spid-avviso-n41-integrazione_ll.gg_._openid_connect_in_spid.pdf

[peppelinux]

alcune considerazioni di seguito

TEMPI DI VALIDITA’ DEI TOKEN
I Token devono rimanere validi fino alla loro scadenza.

Criticità: suona ambiguo in relazione alle revoche. Tuttavia nella sezione LOGOUT è specificata la riduzione della validità in relazione alla revoca. Come segue.

LOGOUT
I token rilasciati da OP sono validi fino all’istante di scadenza indicato nel parametro exp.
La revoca anticipata di un token e la conseguente chiusura della sessione sull’OP può essere richiesta dal RP tramite ...

PAIRWISE IDENTIFIER
L’OP può individuare autonomamente un valore ricollegabile al Client per il “sector_identifier_uri” in caso non sia stato ...

Consiglio: lasciamo liberi gli implementatori con un esempio non normativo di calcolo di pairwise sicuro, l'obbligo di sector_identifier_uri è inteso qualora l'OP supportasse Dynamic Client Registration. SPID non lo supporta, quindi credo che potremmo tralasciare questi aspetti o indicare delle semplici buone pratiche, non normative, per la produzione del pairwise. Esempio di format string ottenuto dalla concatenazione delle seguenti variabili

{user_uid}{client_id}{provider_id}{SALT}

[peppelinux]

and this
italia/spid-cie-oidc-docs#72