我目前正在处理一个与 OpenID Connect Back-channel 注销相关的项目。如规范中所述,我需要在注销令牌中包含 sid 作为声明。
sid- 可选。会话 ID - 会话的字符串标识符。这代表在 RP 处登录的最终用户的用户代理或设备的会话。不同的 sid 值用于标识 OP 中的不同会话。sid 值只需要在特定发行者的上下文中是唯一的。它的内容对 RP 是不透明的。其语法与 OAuth 2.0 客户端标识符相同。
从对 sid 的解释来看,我对它是否告诉 RP 的最终用户的 session-id 或 OP 的 RP 的 session-id 有一些困惑。
提前致谢。
根据 OAuth2.0规范,重定向 URI 不应包含片段标识符。
重定向端点 URI 必须是 [RFC3986] 第 4.3 节定义的绝对 URI。端点 URI 可以包含“application/x-www-form-urlencoded”格式的(根据附录 B)查询组件([RFC3986] 第 3.4 节),在添加其他查询参数时必须保留该组件。端点 URI 不得包含片段组件。
规范做出这样的限制有什么具体原因吗?
提前致谢!