Questo sito è disponibile anche in English.Passa a English
KAITUM AIIl nostro marchio interno — execution AI per le vendite automotive.Su nrmnext.com
Wiki

OAuth 2.0 e OIDC.

Team Wiki··3 min di lettura

Lo standard per «Login con X». Flussi, token, PKCE — e dove un Auth fatto in casa diventa pericoloso.

Categoria · Sicurezza & Compliance

Lo standard dietro il "Login con X".

OAuth 2.0 è un protocollo di autorizzazione: regola come un'applicazione possa accedere a un'altra in nome di un utente, senza conoscerne la password. OpenID Connect (OIDC) vi si appoggia e aggiunge l'autenticazione — ovvero la domanda su chi sia effettivamente l'utente.

Al centro ci sono i flow che scambiano token. Per le app web e mobili, oggi lo standard è l'Authorization Code Flow con PKCE, perché funziona anche senza un client secret custodito in modo sicuro.

Quando ci affidiamo a esso.

Ovunque gli utenti accedano tramite identità esistenti o un prodotto debba accedere a sistemi di terze parti — Microsoft Entra, Google, GitHub. Invece di gestire noi stessi le password, ci appoggiamo a identity provider consolidati.

Questo riduce sensibilmente la superficie di attacco e lo sforzo: gestione delle sessioni, MFA e reset delle password ricadono sul provider, che lo fa come attività principale.

Dove l'auth fatto in casa diventa pericoloso.

OAuth è sottile. Redirect URI configurati male, PKCE mancante o token validati in modo impreciso aprono falle reali. L'auth fai-da-te di solito non fallisce sul login, ma sui casi limite — rinnovo del token, logout, revoca.

La nostra regola: usare librerie e provider consolidati, non reinventare il protocollo.

APPROFONDIRE

Si adatta a un tema da voi?

Se volete parlarne per trasferirlo al vostro contesto — 30 minuti bastano per iniziare.

Altri articoli