Vlákno názorů k článku Přihlášení pomocí třetí strany: ověření identity s OAuth 2.0 od NikdeKde - Tak super a jak může babička hlídat co...

Tak super a jak může babička hlídat co o ní myslivcová karkulce vykecá? Třeba chce aby karkulce řekla že je babička, pro sněhurku se identifikovala jako tetička a pro vlka náhodně vybrala každý den jiného trpaslíka? V jednom obchodě nakupuju jako fyzická osoba v druhém jako právnická a třetí je stránka kde se vlastně přihlašovat nechci ani nepotřebuju, jenom je to vyžadováno.

To je velmi dobrá otázka.

Babička nedokáže hlídat nic. Právě proto se jedná o otázku důvěry: Babička důvěřuje Myslivcové, že tato předá třetí straně jen ty informace, se kterými Babička souhlasí (a před jejich předáním je na webu Myslivcové typicky s touto situací seznámena). I proto existují nařízení typu GDPR, která tento vztah alespoň částečně formalizují.

No právě a Myslivcová je známá drbna a co neví to nepoví. Se souhlasem je to jako všude, všechno nebo nic. Jo takhle kdyby se Autorita umožňovala uživatelům spravovat co kam poslat a neposlat to by byla jiná.

MojeID to umožňuje: zvolíte si, co všechno tomu serveru, pro který se provádí ověření, může předat.

Uživatel nemůže mít žádný mechanismus, kterým by povahu předávaných údajů mohl technologicky omezovat a/nebo kontrolovat, neboť předávaná data tečou kanálem, který nemá pod kontrolou.

Pokud uživatel poskytovateli identity nevěří, pak by asi neměl využívat jeho služeb.

Dobrý poskytovatel identity by měl také nabídnout možnost revokovat vydaný OAuth token, aby mohl uživatel svůj souhlas s předáním identifikačních dat odvolat, pokud bude mít takovou potřebu.