我正在使用规范“https://openid.net/specs/openid-connect-session-1_0.html#RPLogout”来实现该功能,RP启动了注销。我需要知道的是'id_token_hint'实际上是什么意思。它与客户端ID相同,还是我们在登录后从OP收到的授权代码。否则规范中提到的'id_token_hint'是什么?任何解释都非常感谢。
感谢。
答案 0 :(得分:1)
id_token_hint
参数的值是先前从OpenID Connect Provider收到的实际ID令牌。正如规范所说:
这用作最终用户身份的指示 RP要求由OP注销。
它可以防止攻击者从他们的帐户点击劫持和注销用户,因为只有真正的RP才能为用户提供有效的ID令牌(尽管OP应该在实际登录用户之前要求确认)。