Logo Logo
GitHub Designed by Logto
oauth 2.0oidc
Modifica su GitHub

Cos'è Accesso offline?

L'accesso offline consente ai client di ottenere nuovi access token senza richiedere all'utente di autenticarsi nuovamente. È utile per sessioni di lunga durata e una migliore esperienza utente.

Che cos’è l’accesso offline?

Il concetto di accesso offline può variare a seconda del contesto, ci concentreremo sulle specifiche di OAuth 2.0 e OpenID Connect (OIDC). In questo contesto, l’accesso offline consente ai client di ottenere nuovi access token utilizzando un refresh token senza richiedere all’utente di autenticarsi nuovamente. Questa funzionalità è particolarmente utile per sessioni di lunga durata e una migliore esperienza utente.

Vale la pena notare che OAuth 2.0 non definisce esplicitamente il termine “accesso offline”; specifica solo l’uso dei refresh token per ottenere nuovi access token. Tuttavia, il termine “accesso offline” (insieme allo scope offline_access) è stato ampiamente adottato nel settore per riferirsi a questa capacità, ed è ufficialmente definito nella specifica OpenID Connect (OIDC) .

Come funziona l’accesso offline?

Per semplicità, useremo i termini di OAuth 2.0 Richiesta di autorizzazione (Authorization request) e Server di autorizzazione per illustrare come funziona l’accesso offline. I loro termini alternativi in OIDC sono Richiesta di autenticazione (Authentication request) e OpenID Provider (OP) , rispettivamente.

Ci sono due passaggi principali coinvolti nell’utilizzo dell’accesso offline:

  1. Richiesta di accesso offline: Quando il Client avvia una richiesta di autorizzazione al authorization server, include lo scope offline_access per richiedere l’accesso offline. Questo scope indica che il client desidera ottenere un refresh token insieme all’access token.

    Il supporto per l’accesso offline può variare tra i authorization server, e il authorization server può ignorare lo scope offline_access se non lo supporta. Si prega di fare riferimento alla documentazione del authorization server per garantire la compatibilità prima di utilizzare questo scope.

  2. Utilizzo del refresh token: Una volta completato il Concessione OAuth 2.0 (OAuth 2.0 grant) , il client dovrebbe ricevere un Token di aggiornamento (Refresh token) insieme al Token di accesso (Access token) . Il client può memorizzare il refresh token in modo sicuro e utilizzarlo per inviare una Richiesta di token al authorization server per ottenere un nuovo access token quando l’attuale access token scade.

Per esempi dettagliati di accesso offline in azione, si prega di fare riferimento all’articolo Token di aggiornamento (Refresh token) .

Considerazioni sulla sicurezza

Le implicazioni di sicurezza dell’accesso offline sono simili a quelle dei refresh token. Si prega di fare riferimento alla sezione Considerazioni sulla sicurezza del refresh token per i dettagli.

Vedi anche