EN Contattaci

OpenID Connect 1.0: identity layer moderno su OAuth 2.0

OpenID Connect Core 1.0 (febbraio 2014): layer di autenticazione standard su OAuth 2.0. ID token JWT, UserInfo endpoint, discovery metadata, flussi SSO. Fondamento di Google/Microsoft/Apple Sign-In, SPID, login corporate.

Open SourceWebCyber Security
Open SourceWebCyber Security OpenID ConnectOIDCOAuthAuthenticationJWTOpen SourceWebSecurity
CyberScan

CyberScan

Piattaforma di vulnerability assessment automatizzata, threat intelligence e continuous security posture management.

Scopri →

Autorizzazione vs Autenticazione

OAuth 2.0 (2012) è progettato per autorizzazione — dare a un’app accesso delegato a risorse utente. Viene però usato impropriamente per autenticazione (“Login with Google”), con ogni implementatore che inventa il proprio modo di comunicare identità utente. Serve uno standard.

Il rilascio

OpenID Connect Core 1.0 è pubblicato l’11 febbraio 2014 da OpenID Foundation. Editor: Michael B. Jones (Microsoft), John Bradley, Nat Sakimura. Successore di OpenID 2.0 (2007, protocollo precedente completamente diverso).

Concettualmente: “OIDC è a OAuth come autenticazione è ad autorizzazione”.

Componenti

  • ID Token — JWT firmato contenente claims utente standardizzati (sub, name, email, iss, aud, exp, iat)
  • Access Token — OAuth 2.0 standard
  • Refresh Token — rinnovo
  • UserInfo Endpoint — API con dettagli utente aggiuntivi
  • Discovery (/.well-known/openid-configuration) — metadata del provider
  • JWKS (/.well-known/jwks.json) — chiavi pubbliche per verifica firma
  • Scopes standardopenid, profile, email, address, phone

Esempio flusso

1. Redirect → /authorize?response_type=code&scope=openid+email&...
2. User auth + consent
3. Redirect back → /callback?code=abc123
4. POST /token → { id_token, access_token, refresh_token }
5. Verifica id_token firma + claims
6. GET /userinfo con access_token (opzionale)

Flows

  • Authorization Code + PKCE — raccomandato per SPA e webapp
  • Hybrid Flow — code + id_token o token
  • Implicit — deprecato
  • Device Flow — per smart TV/IoT

Provider standard

Tutti i major provider sono OIDC-compliant:

  • Google, Microsoft/Azure AD, Apple, Facebook, GitHub, LinkedIn
  • Auth0, Okta, OneLogin (SaaS)
  • Keycloak, Authentik, Ory Hydra, Dex, Zitadel (OSS)

Specifiche correlate

  • OIDC Discovery 1.0
  • OIDC Dynamic Client Registration
  • OIDC Session Management — logout federato
  • OIDC Front-Channel/Back-Channel Logout
  • FAPI (Financial-grade API) — profilo hardened per banche/PSD2

Nel contesto italiano

OpenID Connect è il fondamento di:

  • SPID — con profilo SAML storico, ora transizione a OIDC Federation in corso
  • CIE ID — Carta Identità Elettronica online (OIDC-like)
  • EUDI Wallet — wallet identità digitale europeo (regolamento eIDAS 2, 2024)
  • Login corporate aziendali italiane via Azure AD / Google Workspace
  • Fintech PSD2 Italia — FAPI profile

Ogni team che implementa “login social” in un sito italiano o un’integrazione enterprise SSO tocca OIDC.

Riferimenti: OpenID Connect Core 1.0 (11 febbraio 2014). OpenID Foundation. Michael B. Jones (Microsoft), John Bradley, Nat Sakimura. ID token JWT firmato. Discovery, UserInfo, JWKS endpoint. Provider Google, Microsoft, Apple, Keycloak, Auth0.

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi