WSO2IS-5.7.0 OIDC SSO выход без id_token_hint

Question

Я работаю с OIDC и WSo2IS-5.7.0.Я хочу реализовать инициированный rp глобальный выход из системы (я хочу завершить сеанс из RP, а также из OP или WSO2 в моем случае.) Когда пользователь нажимает кнопку выхода из системы, я перенаправляю пользователя на этот URL:

https://myserver:9443/oidc/logout?id_token_hint=<idtoken>&post_logout_redirect_uri=https://myotherserver.com/myapp/index

Работает нормально, и пользователь перенаправляется на страницу входа wso2.Мой клиент считает, что это небезопасно, и хочет сделать то же самое, не отправляя id_token в интерфейс.Возможно ли это с помощью wso2is-5.7.0?

Если да, то как?

Если нет, не опасно ли, что мы отправляем токен id в FE?Кто-нибудь может использовать его для вызова API?

Answer 1

Это невозможно.В реализации WSO2 мы используем id_token_hint для извлечения client_id из id_token (отправляется как id_token_hint).Это необходимо для получения информации о поставщике услуг, для которой был выдан id_token.

В противном случае у нас нет способа проверить, является ли значение, отправленное в post_logout_redirect_uri, зарегистрированным обратным вызовом для поставщика услуг.

Так что, если мы опускаем id_token_hint, мы не можем проверить отправленный post_logout_redirect_uriчто откроет еще одну дыру в безопасности, позволяющую перенаправить на ненадежный Uris.