' id_token_hint'在RP发起的注销中

时间:2015-04-21 05:53:25

标签: java openid-connect

我正在使用规范“https://openid.net/specs/openid-connect-session-1_0.html#RPLogout”来实现该功能,RP启动了注销。我需要知道的是'id_token_hint'实际上是什么意思。它与客户端ID相同,还是我们在登录后从OP收到的授权代码。否则规范中提到的'id_token_hint'是什么?任何解释都非常感谢。

感谢。

1 个答案:

答案 0 :(得分:1)

id_token_hint参数的值是先前从OpenID Connect Provider收到的实际ID令牌。正如规范所说:

  

这用作最终用户身份的指示   RP要求由OP注销。

它可以防止攻击者从他们的帐户点击劫持和注销用户,因为只有真正的RP才能为用户提供有效的ID令牌(尽管OP应该在实际登录用户之前要求确认)。