Token security & HttpOnly cookies
Opened this issue · 1 comments
frankvanes commented
Van een todo bij het NL-GOV OpenID Connect profiel, welke relevanter is voor oAuth 2.0 (aangezien het over access_tokens gaat en id_tokens juist beschikbaar moeten zijn voor de client, wat niet mogelijk is bij HttpOnly cookies):
Wellicht is het goed om een SHOULD op te nemen dat de Authorisatie Server naast een access_token in de token response header OOK een (ander) token meegeeft als HttpOnly cookie en dat de Resource Server bij elk request zowel het access_token als de HttpOnly cookie valideert voor toegang.
mrtn78 commented
@frankvanes kan dit issue worden gesloten als outdated of is het nog relevant?