java - RP 发起注销中的“id_token_hint”

Question

我正在使用规范“https://openid.net/specs/openid-connect-session-1_0.html#RPLogout” ' 为了实现该功能，RP 发起注销。我需要知道的是这里的“id_token_hint”实际上是什么意思。它与客户端 ID 相同还是我们登录 OP 后从 OP 收到的授权代码。否则规范中提到的“id_token_hint”是什么。任何解释都将受到高度赞赏。

谢谢。

Answer 1

id_token_hint 参数的值是之前从 OpenID Connect 提供商接收到的实际 ID token 。正如规范所述:

This is used as an indication of the identity of the End-User that the RP is requesting be logged out by the OP.

它将防止攻击者点击劫持并从帐户中注销用户，因为只有真正的 RP 才能为用户提供有效的 ID token (尽管 OP 应在实际注销用户之前要求确认)。