Die OpenID Connect Implicit Client specification gibt den optionalen prompt=login
Parameterwert für Implizite Clients SHOULD
an, der den Endbenutzer zur erneuten Authentifizierung auffordert.OpenID Connect-Prompt-Parameter: SOLLTE und MUSS
ist der richtige Weg SHOULD
eine der folgenden zu interpretieren: die SHOULD
Anforderung erfüllen
prompt=login
Implementierungen sollten die Benutzer aufgefordert, gegebenenfalls erneut zu authentifizieren, kann aber nicht in bestimmten Situationen, zum Beispiel fordert den Benutzer auf, sich erneut zu authentifizieren, wenn keine aktive Sitzung vorhanden ist, jedoch nicht, wenn der Benutzer eine aktive Sitzung hat.prompt=login
Implementierungen erfüllen dieSHOULD
AnforderungMUST
Benutzer aufgefordert, erneut zu authentifizieren.
Wenn der richtige Weg, um die SHOULD
Anforderung ist die # 2 Option oben, um immer zu authentifizieren, wie geht man mit der Situation, wo der Benutzer aufgefordert wird, nur zu implementieren, zu authentifizieren, wenn die Sitzung abgelaufen ist? Würde dies den prompt
Parameter weglassen?
Implementierungen von Microsoft Azure, Okta und Salesforce verwenden MUST
für die erneute Authentifizierung.
Referenzen:
- OpenID: Der Autorisierungsserver die End-User für die erneute Authentifizierung auffordern soll. Wenn der Endbenutzer den Endbenutzer nicht erneut authentifizieren kann, muss er einen Fehler zurückgeben, normalerweise login_required.
- MS Azure:
prompt=login
wird den Benutzer zwingen, ihre Anmeldeinformationen für diese Anfrage einzugeben, die Single-Sign-On zu negieren. - Okta: Kann entweder keiner oder Login sein. Der Wert legt fest, ob Okta (falls erforderlich) nicht zur Bestätigung auffordert oder eine Eingabeaufforderung erzwingt (selbst wenn der Benutzer eine vorhandene Sitzung hatte). Standard: Das Standardverhalten hängt davon ab, ob eine vorhandene Okta-Sitzung vorhanden ist.
- Salesforce: Der Autorisierungsserver muss den Benutzer zur erneuten Authentifizierung auffordern, sodass sich der Benutzer erneut anmelden muss.