21-05 OIDC

Refresh-token støtte for public-klienter

Releasen vart produksjonssatt May 19, 2021

Forbetringar:

La SPA-klienter og native kunne bruke refresh_tokens (PBLEID-21673)

Idag får ikkje SPA-klienter noko refresh_token. Dette skapar litt problem for nokon av brukerstyrt datadeling-tilfella.

Endre oppførsel i tråd med https://tools.ietf.org/html/draft-ietf-oauth-browser-based-apps-07#section-8, dvs. at SPAer kan

  • få utdelt refresh_token
  • bruke refresh_token utan klient-autentisering
  • tvinge rotasjon av refresh_token ved bruk

Klienten må registrerast med refresh_token som grant-type før den vil motta refresh_token.

API-tilbydere som ikke vil tillate bruk av SPAer med lange levetider på refresh_tokenet, bør sette begrensninger, evt. blokkere API-forespørsler der tokenet har client_amr-claimet lik “none”.

Feilrettingar:

Feil ved caching av PAR-requester (PBLEID-22012)

Det ble oppdaget en feil i distribuert caching av PAR-requester, som gjorde at browser-redirect på etterfølgende /authorize-kall feila i noen tilfeller.