1
Die OpenID Connect Implicit Client specification gibt den optionalen prompt=login Parameterwert für Implizite Clients SHOULD an, der den Endbenutzer zur erneuten Authentifizierung auffordert.OpenID Connect-Prompt-Parameter: SOLLTE und MUSS
ist der richtige Weg SHOULD eine der folgenden zu interpretieren: die SHOULD Anforderung erfüllen
prompt=loginImplementierungen sollten die Benutzer aufgefordert, gegebenenfalls erneut zu authentifizieren, kann aber nicht in bestimmten Situationen, zum Beispiel fordert den Benutzer auf, sich erneut zu authentifizieren, wenn keine aktive Sitzung vorhanden ist, jedoch nicht, wenn der Benutzer eine aktive Sitzung hat.prompt=loginImplementierungen erfüllen dieSHOULDAnforderungMUSTBenutzer aufgefordert, erneut zu authentifizieren.
Wenn der richtige Weg, um die SHOULD Anforderung ist die # 2 Option oben, um immer zu authentifizieren, wie geht man mit der Situation, wo der Benutzer aufgefordert wird, nur zu implementieren, zu authentifizieren, wenn die Sitzung abgelaufen ist? Würde dies den prompt Parameter weglassen?
Implementierungen von Microsoft Azure, Okta und Salesforce verwenden MUST für die erneute Authentifizierung.
Referenzen:
- OpenID: Der Autorisierungsserver die End-User für die erneute Authentifizierung auffordern soll. Wenn der Endbenutzer den Endbenutzer nicht erneut authentifizieren kann, muss er einen Fehler zurückgeben, normalerweise login_required.
- MS Azure:
prompt=loginwird den Benutzer zwingen, ihre Anmeldeinformationen für diese Anfrage einzugeben, die Single-Sign-On zu negieren. - Okta: Kann entweder keiner oder Login sein. Der Wert legt fest, ob Okta (falls erforderlich) nicht zur Bestätigung auffordert oder eine Eingabeaufforderung erzwingt (selbst wenn der Benutzer eine vorhandene Sitzung hatte). Standard: Das Standardverhalten hängt davon ab, ob eine vorhandene Okta-Sitzung vorhanden ist.
- Salesforce: Der Autorisierungsserver muss den Benutzer zur erneuten Authentifizierung auffordern, sodass sich der Benutzer erneut anmelden muss.