Spannend zu lesen, danke für den Artikel. Ich befinde mich mittlerweile immer öfter auf der anderen Seite solcher IDPs wie Keycloak oder Azure und schreibe Applikationen, die diese anbinden zwecks eines SSO-Logins. Eine Frage, die ich aber bisher nicht abschliessend beantworten kann, wäre:
Was ist der gängige Weg, den id_token/access_token/refresh_token an Drittsysteme zu geben. Ich speichere diese üblicherweise immer in Cookies auf der Hauptdomain, das setzt jedoch voraus, dass die Drittsysteme auf Subdomains laufen müssen, damit diese Zugriff auf die entsprechenden Cookies haben. Eventuell hast du da eine bessere Idee?
Hallo @stubenhocker, was der beste Weg ist weiß ich nicht. Ich bin auch eher noch im Experiemntierstadium. Bei mir war es bisher so, dass ich die Cookies über einen POST Request übermittel. Also entweder "von Hand" (in einer Shell oder Postman), oder via Script. Bei Drittsystemem tritt dieses CORS Problem auf, damit habe ich auch immer gekämpft. Außer dem Tipp eine KI zu fragen (z.B. https://v0.dev), kann ich dir wahrscheinlich nicht viel weiter helfen.
Gruß, Achim