我需要确保最近使用多重身份验证对使用 Google Signin 登录的用户进行身份验证。通过OpenID connect request parameters查看有些内容,例如:acr_values和max_age。
在测试过程中max_age似乎毫无用处。我仍然只使用现有的Cookie进行身份验证,而不是通过Google进行主动身份验证。使用此请求参数确实使id token包含此json
"amr": [
"rba"
],
根据此rfc表示身份验证方法参考是基于风险的身份验证。事实证明这总是返回rba。如果退出然后在其中重新登录,则会返回rba而非pwd mfa,就像我期待的那样。
我没有看到为acr_values定义任何值。
因此...
是否可以:
auth_time似乎已经确定了Google看到我的会话的时间
我启动签到流程时的cookie)