我正在使用OIDC和WSo2IS-5.7.0。我想实现rp启动的全局注销(对于我来说,我想从RP以及OP或WSO2终止会话。)当用户单击注销按钮时,我会将用户重定向到此URL:
https://myserver:9443/oidc/logout?id_token_hint=<idtoken>&post_logout_redirect_uri=https://myotherserver.com/myapp/index
它工作正常,并且用户已重定向到wso2的登录页面。我的客户认为它不安全,并且希望这样做而不将id_token发送到前端。 wso2is-5.7.0是否可能?
如果是,怎么办?
如果否,我们将ID令牌发送给FE并不安全吗?任何人都可以使用它进行API调用吗?
答案 0 :(得分:1)
不可能。在WSO2实施中,我们使用id_token_hint从id_token(作为id_token_hint发送)中提取client_id。这是检索为其发出id_token的服务提供商信息所必需的。
否则,我们将无法验证post_logout_redirect_uri中发送的值是否是服务提供商的注册回调。
因此,如果我们省略id_token_hint,我们将无法验证发送的post_logout_redirect_uri,这将打开另一个安全漏洞,允许重定向到不受信任的uri。