Discovery
GETSiêu dữ liệu máy chủ: issuer, các điểm cuối, scope, thuật toán ký — client đọc file này để tự cấu hình.
Máy chủ định danh tập trung theo chuẩn OpenID Connect 1.0 và OAuth 2.0: một lần đăng nhập cho mọi ứng dụng nghiệp vụ, tài khoản liên kết (federation) về hệ thống gốc, không lưu mật khẩu tại IdP.
Danh sách dưới đây được đọc trực tiếp từ cấu hình máy chủ OpenIddict đang chạy — luôn khớp với thực tế. Ứng dụng khách chỉ cần đọc discovery document, mọi địa chỉ còn lại sẽ được tự động phát hiện.
Siêu dữ liệu máy chủ: issuer, các điểm cuối, scope, thuật toán ký — client đọc file này để tự cấu hình.
Bộ khoá công khai để Resource Server xác thực chữ ký JWT mà không cần gọi ngược về IdP.
Khởi tạo luồng Authorization Code + PKCE: xác thực người dùng, lấy đồng ý, phát mã uỷ quyền.
Đổi authorization code (kèm code_verifier) lấy access token / id token / refresh token.
Trả claim hồ sơ người dùng cho access token hợp lệ (sub, name, email, roles).
Kết thúc phiên đăng nhập tại IdP rồi chuyển hướng về post_logout_redirect_uri của ứng dụng.
— chưa kích hoạt —
Kiểm tra trạng thái token cho resource server. Chỉ cần khi có client bí mật (confidential).
— chưa kích hoạt —
Thu hồi refresh token / access token trước hạn khi người dùng đăng xuất hoặc lộ token.
SetIntrospectionEndpointUris / SetRevocationEndpointUris.Mọi lớp bảo vệ đều dựa trên đặc tả công khai (RFC / OIDC Core), không dùng cơ chế tự chế.
Mọi luồng Authorization Code phải kèm code_challenge. Mã uỷ quyền bị chặn cũng vô dụng nếu thiếu code_verifier.
Danh tính được liên kết (federate) về hệ thống gốc qua kênh máy chủ–máy chủ. Cơ sở dữ liệu SSO chỉ chứa bảng OpenIddict.
OTP qua e-mail hoặc SMS, bật cho toàn bộ ứng dụng hoặc chỉ cho vai trò nhạy cảm (super, admin).
Access token dạng JWS (không mã hoá), xác thực bằng khoá công khai từ JWKS — Resource API không cần biết bí mật nào của IdP.
Cookie HttpOnly hết hạn sau 1 giờ, tự gia hạn khi còn hoạt động. Refresh token cho phép làm mới quyền truy cập mà không hỏi lại mật khẩu.
Chỉ redirect URI đã đăng ký mới được nhận mã uỷ quyền; CORS khoá theo danh sách origin tin cậy trong cấu hình.
Luồng duy nhất được khuyến nghị cho ứng dụng trình duyệt — token không bao giờ đi qua thanh địa chỉ.
Ứng dụng gọi /connect/authorize kèm code_challenge.
IdP hiển thị trang đăng nhập mang nhận diện riêng của từng ứng dụng.
Xác thực về hệ thống gốc, gửi OTP nếu chính sách yêu cầu.
Ứng dụng đổi mã tại /connect/token kèm code_verifier.
Đính access token vào header; API xác thực chữ ký qua JWKS.
Người dùng đăng nhập một lần tại IdP và truy cập được mọi ứng dụng dưới đây, theo đúng phạm vi (scope) được cấp.