OpenID Connect Implicit Client specification表示隐式客户端prompt=login的可选SHOULD参数值,提示最终用户进行重新认证。
是解释SHOULD以下任何一种方法的正确方法:
prompt=login要求的SHOULD实施应提示用户在适当的时候重新进行身份验证,但在某些情况下可能不会,例如提示用户在没有活动会话的地方重新进行身份验证,但在用户有活动会话时不提示。prompt=login要求SHOULD的MUST实施提示用户重新进行身份验证。如果实现SHOULD要求的正确方法是上面的#2选项,要始终进行身份验证,如何处理仅在会话过期时提示用户进行身份验证的情况?这会省略prompt参数吗?
Microsoft Azure,Okta和Salesforce的实现使用MUST进行重新身份验证。
参考文献:
prompt=login将强制用户在该请求中输入其凭据,否定单点登录。答案 0 :(得分:0)
对于会话管理,您可以使用openid spec
中定义的max_age参数在登录期间将max_age设置为所需的会话持续时间,以强制身份提供商在会话到期时要求提供凭据。