Я предполагаю, что у вас есть некоторые проблемы безопасности с наличием токена ID в URL ...
В этом случае я вижу два пути снижения рисков:
Убедитесь, что поставщик OIDC перенаправляет в ваше приложение, используя фрагменты URL, а не через строку запроса.Это гарантирует, что параметры не отправляются на сервер, где они могут оказаться в журналах, и уже должны быть режимом ответа поставщика по умолчанию для неявных потоков.При необходимости вы можете использовать response_mode=fragment для его принудительного применения.
Вы можете зарегистрировать «общедоступного» клиента, но при этом использовать поток кода авторизации для получения токена ID из конечной точки токена.В этом случае вы не предоставляете client_secret конечной точке токена (так как клиент общедоступен).Вы также можете использовать PKCE в этом потоке.