Аналитик по безопасности заметил, что не было отправлено уникальных токенов для выхода пользователя из системы (запрос GET) с использованием потока OpenID Keycloak .Следовательно, можно создать ссылку с URL-адресом выхода из системы и выйти из системы без намерения этого пользователя;который в основном CSRF.Хотя аналитик согласился с тем, что влияние было относительно низким, это не идеально.Тем более, что в нашем приложении есть функция мониторинга, пользователь может пропустить потенциальное обновление, потому что пользователь по незнанию вышел из системы.
Я вижу некоторых поставщиков OpenID (например, login.gov ), которым требуется, например, id_token для отправки вместе с запросом, что трудно угадать для третьей стороны, но этомне кажется, я не могу это настроить в Keycloak.Или я могу?