我正在使用规范'https://openid.net/specs/openid-connect-session-1_0.html#RPLogout'来实现该功能,RP 发起注销。我需要知道的是这里"id_token_hint"的含义。它是否与客户端 ID 相同,还是我们在登录后从 OP 收到的授权代码。否则规范中提到的"id_token_hint"是什么。任何解释都非常感谢。
谢谢。
id_token_hint参数的值是之前从 OpenID Connect 提供程序接收的实际 ID 令牌。正如规范所说:
这用作最终用户身份的指示 RP 正在请求由 OP 注销。
它将防止攻击者点击劫持并从其帐户中注销用户,因为只有真正的 RP 才能为用户提供有效的 ID 令牌(尽管 OP 应在实际注销用户之前要求确认)。