Рекомендации описаны в черновой спецификации OpenID Connect Session Management 1.0 .
Во-первых, вам нужно избегать генерирования слишком большого сетевого трафика между устройством конечного пользователя и OP.Это особенно важно для мобильных устройств.Таким образом, вместо повторения запроса на аутентификацию проект спецификации дает лучший способ объединить состояние сеанса конечного пользователя с OP: вставка скрытого iframe в OP на веб-странице вашего сервиса.Таким образом, этот OP iframe будет поддерживать сеанс для OP посредством cookie сеанса, без необходимости аутентификации пользователя.Таким образом, вы можете опрашивать этот iframe, используя межфреймовые сообщения, чтобы регулярно проверять, активен ли сеанс с OP.Таким образом, не будет никакого потока аутентификации, чтобы проверить, активен ли сеанс к OP.
В проекте спецификации вы найдете другие приемы, например, использование даты истечения срока действия в идентификаторе токена из OP..
Как сказано в спецификации, вполне возможно, что Конечный пользователь мог выйти из OP до истечения срока действия.Поэтому очень желательно иметь возможность узнать состояние входа в систему конечного пользователя на OP .Это лучшая практика.Но многие SP не проверяют состояние сеанса конечного пользователя с помощью OP.Они управляют только своим собственным сеансом, который, например, удаляется после некоторого периода бездействия.Когда такое событие происходит, они направляют конечного пользователя в точку входа аутентификации в OP, чтобы инициировать новый аутентифицированный сеанс.
Многие SP не выбирают закрывать сеанс с SP, когда сеанс сOP был выключен.С точки зрения OP, сеанс с OP может длиться долго не для того, чтобы SP поддерживали свои сеансы, но чтобы избежать повторной аутентификации конечного пользователя, когда он подключается к другому SP.Это особенно важно, когда группа SP работает вместе для обеспечения бесперебойного взаимодействия с пользователем, при котором пользователь прозрачно перенаправляется с одного SP на другой.