#oidc — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #oidc, aggregated by home.social.
-
🔑 pocket-id/pocket-id
A simple and easy-to-use OIDC provider that allows users to authenticate with their passkeys to your services.
Provides OIDC authentication using passkeys only (no passwords), supporting YubiKey and other FIDO2 devices for self-hosted services
⭐ Stars: 7878
📅 Last Update: May 23, 2026https://github.com/pocket-id/pocket-id
#selfhosted #homelab #selfhost #selfhosting #opensource #authentication #oidc
-
🔑 pocket-id/pocket-id
A simple and easy-to-use OIDC provider that allows users to authenticate with their passkeys to your services.
Provides OIDC authentication using passkeys only (no passwords), supporting YubiKey and other FIDO2 devices for self-hosted services
⭐ Stars: 7878
📅 Last Update: May 23, 2026https://github.com/pocket-id/pocket-id
#selfhosted #homelab #selfhost #selfhosting #opensource #authentication #oidc
-
For a project I am working on I am currently researching the three Open ID Connect (OIDC) flows:
* Authorization Code Flow is clear
* Implicit Flow is to be avoided due to the potential for leakage of tokens... and then there is the Hybrid Flow. I understand how it works, i.e. the sequence of steps and their parameters, but no matter where I looked, I could not find a single example for an actual **use case** of the Hybrid Flow. Lots of explanations about how it works, but no mention of the "why".
When would I want to use the Hybrid Flow over the Authorization Code Flow? Or is this an instance of "you'll know it when you'll see it"?
-
#Socket detected a #supplychainattack on 84 #TanStack #npm packages, including popular ones like tanstack/react-router, which were compromised with suspected credential-stealing malware. The attack involved a chained #GitHub Actions attack and resulted in the publication of malicious packages authenticated through the project’s #OIDC trusted-publisher binding. https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack?eicker.news #tech #media #news
-
#Socket detected a #supplychainattack on 84 #TanStack #npm packages, including popular ones like tanstack/react-router, which were compromised with suspected credential-stealing malware. The attack involved a chained #GitHub Actions attack and resulted in the publication of malicious packages authenticated through the project’s #OIDC trusted-publisher binding. https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack?eicker.news #tech #media #news
-
#Socket detected a #supplychainattack on 84 #TanStack #npm packages, including popular ones like tanstack/react-router, which were compromised with suspected credential-stealing malware. The attack involved a chained #GitHub Actions attack and resulted in the publication of malicious packages authenticated through the project’s #OIDC trusted-publisher binding. https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack?eicker.news #tech #media #news
-
#Socket detected a #supplychainattack on 84 #TanStack #npm packages, including popular ones like tanstack/react-router, which were compromised with suspected credential-stealing malware. The attack involved a chained #GitHub Actions attack and resulted in the publication of malicious packages authenticated through the project’s #OIDC trusted-publisher binding. https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack?eicker.news #tech #media #news
-
#Socket detected a #supplychainattack on 84 #TanStack #npm packages, including popular ones like tanstack/react-router, which were compromised with suspected credential-stealing malware. The attack involved a chained #GitHub Actions attack and resulted in the publication of malicious packages authenticated through the project’s #OIDC trusted-publisher binding. https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack?eicker.news #tech #media #news
-
Логин через Telegram по-новому: разбираем OIDC-флоу oauth.telegram.org и собираем его на Python
Telegram теперь полноценный OpenID-провайдер: oauth.telegram.org, JWKS, JWT, claims. Туториалы на GitHub при этом массово показывают старый виджет с HMAC от bot-token и /setdomain в BotFather. Я разобрался с новым флоу и собрал PoC на Python — рассказываю, как устроен обмен между фронтом, Telegram и бэком, чем Login library через telegram-login.js отличается от manual OIDC code flow с PKCE, что настраивать в BotFather (спойлер: не в чате, а в его mini-app), как протестировать локально через ngrok, и какая проверка id_token нужна вместо ручного HMAC.
https://habr.com/ru/articles/1033632/
#telegram #telegram_login #openid_connect #oidc #oauth2 #jwt #jwks #pyjwt #python #authentication
-
Логин через Telegram по-новому: разбираем OIDC-флоу oauth.telegram.org и собираем его на Python
Telegram теперь полноценный OpenID-провайдер: oauth.telegram.org, JWKS, JWT, claims. Туториалы на GitHub при этом массово показывают старый виджет с HMAC от bot-token и /setdomain в BotFather. Я разобрался с новым флоу и собрал PoC на Python — рассказываю, как устроен обмен между фронтом, Telegram и бэком, чем Login library через telegram-login.js отличается от manual OIDC code flow с PKCE, что настраивать в BotFather (спойлер: не в чате, а в его mini-app), как протестировать локально через ngrok, и какая проверка id_token нужна вместо ручного HMAC.
https://habr.com/ru/articles/1033632/
#telegram #telegram_login #openid_connect #oidc #oauth2 #jwt #jwks #pyjwt #python #authentication
-
Логин через Telegram по-новому: разбираем OIDC-флоу oauth.telegram.org и собираем его на Python
Telegram теперь полноценный OpenID-провайдер: oauth.telegram.org, JWKS, JWT, claims. Туториалы на GitHub при этом массово показывают старый виджет с HMAC от bot-token и /setdomain в BotFather. Я разобрался с новым флоу и собрал PoC на Python — рассказываю, как устроен обмен между фронтом, Telegram и бэком, чем Login library через telegram-login.js отличается от manual OIDC code flow с PKCE, что настраивать в BotFather (спойлер: не в чате, а в его mini-app), как протестировать локально через ngrok, и какая проверка id_token нужна вместо ручного HMAC.
https://habr.com/ru/articles/1033632/
#telegram #telegram_login #openid_connect #oidc #oauth2 #jwt #jwks #pyjwt #python #authentication
-
Логин через Telegram по-новому: разбираем OIDC-флоу oauth.telegram.org и собираем его на Python
Telegram теперь полноценный OpenID-провайдер: oauth.telegram.org, JWKS, JWT, claims. Туториалы на GitHub при этом массово показывают старый виджет с HMAC от bot-token и /setdomain в BotFather. Я разобрался с новым флоу и собрал PoC на Python — рассказываю, как устроен обмен между фронтом, Telegram и бэком, чем Login library через telegram-login.js отличается от manual OIDC code flow с PKCE, что настраивать в BotFather (спойлер: не в чате, а в его mini-app), как протестировать локально через ngrok, и какая проверка id_token нужна вместо ручного HMAC.
https://habr.com/ru/articles/1033632/
#telegram #telegram_login #openid_connect #oidc #oauth2 #jwt #jwks #pyjwt #python #authentication
-
Updated ‘ktown’ packages, and a heads-up
Time for a KDE Plasma6 package refresh. On KDE's announcement page, the releases of KDE Gear 26.04.1 and Frameworks 6.26.0 were announced yesterday and today. Since OS packagers have early access to the source tarballs, I had everything compiled and ready for days and could simply push everything into my 'ktown' repository today.
#Slackware #Plasma6 #Forgejo #OIDC
https://blog.slackware.nl/updated-ktown-packages-and-a-heads-up/
-
Updated ‘ktown’ packages, and a heads-up
Time for a KDE Plasma6 package refresh. On KDE's announcement page, the releases of KDE Gear 26.04.1 and Frameworks 6.26.0 were announced yesterday and today. Since OS packagers have early access to the source tarballs, I had everything compiled and ready for days and could simply push everything into my 'ktown' repository today.
#Slackware #Plasma6 #Forgejo #OIDC
https://blog.slackware.nl/updated-ktown-packages-and-a-heads-up/
-
Updated ‘ktown’ packages, and a heads-up
Time for a KDE Plasma6 package refresh. On KDE's announcement page, the releases of KDE Gear 26.04.1 and Frameworks 6.26.0 were announced yesterday and today. Since OS packagers have early access to the source tarballs, I had everything compiled and ready for days and could simply push everything into my 'ktown' repository today.
#Slackware #Plasma6 #Forgejo #OIDC
https://blog.slackware.nl/updated-ktown-packages-and-a-heads-up/
-
Updated ‘ktown’ packages, and a heads-up
Time for a KDE Plasma6 package refresh. On KDE's announcement page, the releases of KDE Gear 26.04.1 and Frameworks 6.26.0 were announced yesterday and today. Since OS packagers have early access to the source tarballs, I had everything compiled and ready for days and could simply push everything into my 'ktown' repository today.
#Slackware #Plasma6 #Forgejo #OIDC
https://blog.slackware.nl/updated-ktown-packages-and-a-heads-up/
-
Updated ‘ktown’ packages, and a heads-up
Time for a KDE Plasma6 package refresh. On KDE's announcement page, the releases of KDE Gear 26.04.1 and Frameworks 6.26.0 were announced yesterday and today. Since OS packagers have early access to the source tarballs, I had everything compiled and ready for days and could simply push everything into my 'ktown' repository today.
#Slackware #Plasma6 #Forgejo #OIDC
https://blog.slackware.nl/updated-ktown-packages-and-a-heads-up/
-
On a récemment publié #authlib 1.7, et on a été accepté dans le programme #ngi0 de la fondation #nlnet. La version 1.7 apporte l'intégration à #joserfc et l'implémentation de la RFC #oidc #rpinitiated. Encore plus de choses sont à venir...
https://blog.authlib.org/2026/authlib-release-version-1-7-and-get-support-from-the-nlnet-foundation -
On a récemment publié #authlib 1.7, et on a été accepté dans le programme #ngi0 de la fondation #nlnet. La version 1.7 apporte l'intégration à #joserfc et l'implémentation de la RFC #oidc #rpinitiated. Encore plus de choses sont à venir...
https://blog.authlib.org/2026/authlib-release-version-1-7-and-get-support-from-the-nlnet-foundation -
On a récemment publié #authlib 1.7, et on a été accepté dans le programme #ngi0 de la fondation #nlnet. La version 1.7 apporte l'intégration à #joserfc et l'implémentation de la RFC #oidc #rpinitiated. Encore plus de choses sont à venir...
https://blog.authlib.org/2026/authlib-release-version-1-7-and-get-support-from-the-nlnet-foundation -
We recently released #authlib 1.7, and got support from the #nlnet #ngi0 grant. Version 1.7 brought #joserfc integration and #oidc #rpinitiated RFC implementation. More is to come...
https://blog.authlib.org/2026/authlib-release-version-1-7-and-get-support-from-the-nlnet-foundation -
We recently released #authlib 1.7, and got support from the #nlnet #ngi0 grant. Version 1.7 brought #joserfc integration and #oidc #rpinitiated RFC implementation. More is to come...
https://blog.authlib.org/2026/authlib-release-version-1-7-and-get-support-from-the-nlnet-foundation -
We recently released #authlib 1.7, and got support from the #nlnet #ngi0 grant. Version 1.7 brought #joserfc integration and #oidc #rpinitiated RFC implementation. More is to come...
https://blog.authlib.org/2026/authlib-release-version-1-7-and-get-support-from-the-nlnet-foundation -
Celebrating #DigitalIndependenceDay with a privacy win: For over 2 months I have been using #Immich, a self-hosted photo and video solution.
It's a great alternative to #Google or #iCloud Photos.
Beyond storage, it brings real intelligence: face recognition, contextual search, and geodiscovery — all running locally, not leaving your infrastructure.
Collaborative albums and #OIDC support make it perfect for multi-user setups. -
Publikování npm balíčků pomocí dlouhodobých tokenů uložených v GitHub Secrets je pohodlné, ale riskantní. Od léta 2025 nabízí npm elegantnější řešení: Trusted Publishers s OIDC autentizací, které tokeny zcela nahrazují. Žádné secrets, žádná rotace, žádný únik přihlašovacích údajů z logů. Ukážeme si, jak vše nastavit za pár minut.
https://zdrojak.cz/clanky/konec-npm-tokenu-publikujte-balicky-bez-secrets-pres-github-actions/ -
Вход по УКЭП в корпоративных системах: практическая архитектура
Почти в каждой крупной корпоративной или государственной системе рано или поздно возникает задача — авторизация с использованием усиленной квалифицированной электронной подписи (УКЭП) На первый взгляд это выглядит как «добавить проверку сертификата при входе». Но в реальности задача быстро превращается в архитектурную: приходится решать целый комплекс вопросов — от проверки сертификатов до поддержки разных устройств. И каждый из них добавляет определенный набор требований: - где и как проверять сертификаты; - как организовать доверие к удостоверяющим центрам; - как встроить УКЭП в веб-приложения; - как обеспечить масштабирование и эксплуатацию; - как работать с разными типами клиентов и устройств. В этой статье разберем практическую архитектуру входа по УКЭП, которую можно внедрить в существующую инфраструктуру без изменения кода основных приложений — достаточно добавить специализированный шлюз и настроить компоненты проверки сертификатов.
-
Вход по УКЭП в корпоративных системах: практическая архитектура
Почти в каждой крупной корпоративной или государственной системе рано или поздно возникает задача — авторизация с использованием усиленной квалифицированной электронной подписи (УКЭП) На первый взгляд это выглядит как «добавить проверку сертификата при входе». Но в реальности задача быстро превращается в архитектурную: приходится решать целый комплекс вопросов — от проверки сертификатов до поддержки разных устройств. И каждый из них добавляет определенный набор требований: - где и как проверять сертификаты; - как организовать доверие к удостоверяющим центрам; - как встроить УКЭП в веб-приложения; - как обеспечить масштабирование и эксплуатацию; - как работать с разными типами клиентов и устройств. В этой статье разберем практическую архитектуру входа по УКЭП, которую можно внедрить в существующую инфраструктуру без изменения кода основных приложений — достаточно добавить специализированный шлюз и настроить компоненты проверки сертификатов.
-
Вход по УКЭП в корпоративных системах: практическая архитектура
Почти в каждой крупной корпоративной или государственной системе рано или поздно возникает задача — авторизация с использованием усиленной квалифицированной электронной подписи (УКЭП) На первый взгляд это выглядит как «добавить проверку сертификата при входе». Но в реальности задача быстро превращается в архитектурную: приходится решать целый комплекс вопросов — от проверки сертификатов до поддержки разных устройств. И каждый из них добавляет определенный набор требований: - где и как проверять сертификаты; - как организовать доверие к удостоверяющим центрам; - как встроить УКЭП в веб-приложения; - как обеспечить масштабирование и эксплуатацию; - как работать с разными типами клиентов и устройств. В этой статье разберем практическую архитектуру входа по УКЭП, которую можно внедрить в существующую инфраструктуру без изменения кода основных приложений — достаточно добавить специализированный шлюз и настроить компоненты проверки сертификатов.
-
Вход по УКЭП в корпоративных системах: практическая архитектура
Почти в каждой крупной корпоративной или государственной системе рано или поздно возникает задача — авторизация с использованием усиленной квалифицированной электронной подписи (УКЭП) На первый взгляд это выглядит как «добавить проверку сертификата при входе». Но в реальности задача быстро превращается в архитектурную: приходится решать целый комплекс вопросов — от проверки сертификатов до поддержки разных устройств. И каждый из них добавляет определенный набор требований: - где и как проверять сертификаты; - как организовать доверие к удостоверяющим центрам; - как встроить УКЭП в веб-приложения; - как обеспечить масштабирование и эксплуатацию; - как работать с разными типами клиентов и устройств. В этой статье разберем практическую архитектуру входа по УКЭП, которую можно внедрить в существующую инфраструктуру без изменения кода основных приложений — достаточно добавить специализированный шлюз и настроить компоненты проверки сертификатов.
-
👍 LemonLDAP::NG 2.22.3, 2.21.4 and 2.16.8 released!
🔐 Security issue with Nginx fixed, please read upgrade notes and apply recommended configuration changes!
🔗 https://projects.ow2.org/view/lemonldap-ng/lemonldap-ng-2-22-3-is-out
-
👍 LemonLDAP::NG 2.22.3, 2.21.4 and 2.16.8 released!
🔐 Security issue with Nginx fixed, please read upgrade notes and apply recommended configuration changes!
🔗 https://projects.ow2.org/view/lemonldap-ng/lemonldap-ng-2-22-3-is-out
-
👍 LemonLDAP::NG 2.22.3, 2.21.4 and 2.16.8 released!
🔐 Security issue with Nginx fixed, please read upgrade notes and apply recommended configuration changes!
🔗 https://projects.ow2.org/view/lemonldap-ng/lemonldap-ng-2-22-3-is-out
-
👍 LemonLDAP::NG 2.22.3, 2.21.4 and 2.16.8 released!
🔐 Security issue with Nginx fixed, please read upgrade notes and apply recommended configuration changes!
🔗 https://projects.ow2.org/view/lemonldap-ng/lemonldap-ng-2-22-3-is-out
-
👍 LemonLDAP::NG 2.22.3, 2.21.4 and 2.16.8 released!
🔐 Security issue with Nginx fixed, please read upgrade notes and apply recommended configuration changes!
🔗 https://projects.ow2.org/view/lemonldap-ng/lemonldap-ng-2-22-3-is-out
-
I can never stop getting excited about what OIDC has done to the world
yet it is so overlooked... everything powered by OIDC suddenly becomes awesome
compare this to your Github PAT lying around the world, always requiring token rotation, "keeping it safe" nonsense, etc
call me "the OIDC guy"
-
"We want to authenticate our end-users through the Client Credentials flow, because it's easier to use!"
So sick and fucking tired of that statement.
-
"We want to authenticate our end-users through the Client Credentials flow, because it's easier to use!"
So sick and fucking tired of that statement.
-
"We want to authenticate our end-users through the Client Credentials flow, because it's easier to use!"
So sick and fucking tired of that statement.
-
"We want to authenticate our end-users through the Client Credentials flow, because it's easier to use!"
So sick and fucking tired of that statement.
-
"We want to authenticate our end-users through the Client Credentials flow, because it's easier to use!"
So sick and fucking tired of that statement.
-
Hey @homelab ,
has anyone managed to write a working config for running #Caddy with the caddy-security plugin and #OIDC?
I am struggling to make it work. Anyone mind sharing a working config?
(watch out to redact your secrets)
EDIT: I figured it out and wrote some example config: https://blog.sektor64.net/i/oidc-with-caddy-security/
Replace the values and you should be ready to go.
-
Successfully migrated the login to my Forgejo Git-Forge from an outdated installation of Authentik to a containerized Keycloak 26 with Passkey (WebAuthN) authentication 🥳
Getting the users from my FreeIPA LDAP via a secured Wireguard tunnel that only allows port 636 to the IPA replica server in my DMZ.
Works like a charm. Once the handful of users on my instance have linked their new Keycloak identity with their Forgejo account, I can disable the old OIDC with Authentik 🙂
-
Most OAuth tutorials stop once login works.
But in a normal authorization code flow, client_id, scope, redirect_uri, state, and nonce can end up in the browser URL, logs, and history.
I wrote a hands-on tutorial showing how to use PAR with Quarkus OIDC and Keycloak to push that request over a back-channel instead.
https://www.the-main-thread.com/p/par-quarkus-oidc-keycloak-pushed-authorization-requests
-
Most OAuth tutorials stop once login works.
But in a normal authorization code flow, client_id, scope, redirect_uri, state, and nonce can end up in the browser URL, logs, and history.
I wrote a hands-on tutorial showing how to use PAR with Quarkus OIDC and Keycloak to push that request over a back-channel instead.
https://www.the-main-thread.com/p/par-quarkus-oidc-keycloak-pushed-authorization-requests
-
Most OAuth tutorials stop once login works.
But in a normal authorization code flow, client_id, scope, redirect_uri, state, and nonce can end up in the browser URL, logs, and history.
I wrote a hands-on tutorial showing how to use PAR with Quarkus OIDC and Keycloak to push that request over a back-channel instead.
https://www.the-main-thread.com/p/par-quarkus-oidc-keycloak-pushed-authorization-requests
