В настоящее время я работаю над интеграцией Google OAuth и должен проверить, создал ли пользователь новый сеанс или повторно использует существующий сеанс.К сожалению, «amr» внутри id_token выглядит жестко, как всегда rba .По этой причине я исследую, можно ли сессионное состояние сессии проверять или подтверждать для нового установления сеанса.
Спецификация https://openid.net/specs/openid-connect-session-1_0-16.html#rfc.section.4.1
Мне удалосьподтвердите, что session_state заново сгенерировано для восстановленных сеансов.Однако, поскольку session_state не находится внутри id_token, нет средств для проверки его подлинности.
Согласно спецификации, session_state рассчитывается с использованием
var ss = CryptoJS.SHA256 (client_id + '' + e.origin + '' + opbs + ['' + +соль]) [+ "."+ salt];
В таком случае, может ли кто-нибудь указать мне, как получить операции или есть более эффективные механизмы для проверки установления нового сеанса в Google OAuth?