OIDC - Подтверждение подхода для авторизации с использованием запроса Нет

Question

В настоящее время я просматриваю некоторую документацию по OIDC, и мне хотелось бы получить подтверждение в отношении потока / authorize с использованием prompt = none

Если я посмотрю на приведенный ниже пример Auth0, он не увидитлюбая ссылка на пропущенный пользовательский доступ или ID-токен, что кажется странным, поскольку OP наверняка должен знать об этом, чтобы определить, активны ли какие-либо сеансы. или как cookie, но это не упоминается или не ясно, и я надеюсь, что кто-нибудь умнее меня сможет это уточнить.

Auth0 Пример:

GET https://YOUR_DOMAIN/authorize
    ?response_type=id_token token&
    client_id=...&
    redirect_uri=...&
    state=...&
    scope=openid...&
    nonce=...&
    audience=...&
    response_mode=...&
    prompt=none

Answer 1

В OIDC файл cookie сеанса сохраняется в браузере, как только пользователь успешно вошел в IdP, и именно поэтому вам не нужно передавать какие-либо данные, связанные с пользователем. Как только пользователь вошел в систему, все последующие /authorize запросы найдут файл cookie в браузере и получат из него информацию о пользователе.

Пожалуйста, проверьте этот ответ .