Способы пропустить согласие пользователя в OpenID Connect

Question

В запросе на аутентификацию, если пользователи ранее дали согласие на какой-либо клиент (для определенного списка областей) и потому, что они могут запрашиваться для одной и той же авторизации несколько раз. Может ли быть допустимым пропустить его ?. ¿Работает как по коду, так и по неявным потокам. ¿Сколько времени помните согласие ?.

Я немного смущен о том, как реализовать это. Проект oauth2 сказать:

... and obtains an authorization decision 
(by asking the resource owner or by 
establishing approval via other means). 

И проект OpenID сказать:

... this MAY be done through an interactive dialogue with the End-User 
that makes it clear what is being consented to or by establishing 
consent via conditions for processing the request or other means 
(for example, via previous administrative consent). 

Am работает над реализацией OpenID Provider для Django. https://github.com/juanifioren/django-openid-provider

Спасибо за ваше время. Приветствую.

Answer 1

Вы должны запросить одобрение для конкретного клиента только в первый раз, когда пользователь входит в этот клиент и затем сохранит его для последующего использования. В некоторых случаях использование согласия пользователя не требуется, поскольку оно может быть неявным, например. в настройках предприятия, где пользователи используют внутренние клиенты.

Answer 2

Согласие - дело сложное. В разных странах существуют разные правила и даже разные толкования в пределах одной страны. Но в стороне от общего способа разрешения согласия в SSO-системах - попросить пользователя дать согласие в первый раз, когда она появится у конкретного клиента, а затем спросить, следует ли помнить этот выбор или если он должен быть действителен только один раз. Конечно, если пользователь говорит, что ее согласие должно помнить, что она все же должна иметь возможность позже перерисовать согласие, но затем вне нормального потока полномочий.