我正在使用规范“https://openid.net/specs/openid-connect-session-1_0.html#RPLogout” ' 为了实现该功能,RP 发起注销。我需要知道的是这里的“id_token_hint”实际上是什么意思。它与客户端 ID 相同还是我们登录 OP 后从 OP 收到的授权代码。否则规范中提到的“id_token_hint”是什么。任何解释都将受到高度赞赏。
谢谢。
最佳答案
id_token_hint
参数的值是之前从 OpenID Connect 提供商接收到的实际 ID token 。正如规范所述:
This is used as an indication of the identity of the End-User that the RP is requesting be logged out by the OP.
它将防止攻击者点击劫持并从帐户中注销用户,因为只有真正的 RP 才能为用户提供有效的 ID token (尽管 OP 应在实际注销用户之前要求确认)。
关于java - RP 发起注销中的“id_token_hint”,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29763991/