1
OpenID Connect Implicit Client specification은 암시 적 클라이언트 SHOULD에 대한 선택적 prompt=login 매개 변수 값이 일반 사용자에게 재 인증을 요청한다는 것을 나타냅니다. OpenID Connect 프롬프트 매개 변수는 다음과 같아야합니다.
SHOULD 중 하나를 해석하는 올바른 방법인가 : 적절한 때 재 인증 메시지를 표시해야
SHOULD 요건을 충족
prompt=login구현을 할 수 있지만하지 특정 상황에서, 예를 들어, 활성 세션이없는 곳에서 재 인증하도록 사용자에게 프롬프트하지만 사용자가 활성 세션을 가질 때 프롬프트하지 않습니다.prompt=loginSHOULD요구 사항을 충족하는 구현MUST은 사용자에게 재 인증을 요청합니다. 항상 인증하는
SHOULD 요구 사항을 구현하는 올바른 방법은 # 2 옵션은 위의 경우, 어떻게 한 사용자는 세션이 만료 된 경우 인증하라는 메시지가 표시되는 상황을 어떻게 처리합니까? prompt 매개 변수를 생략 하시겠습니까?
Microsoft Azure, Okta 및 Salesforce의 구현에서는 MUST을 사용하여 재 인증을받습니다.
참고 :
- OpenID : 권한 부여 서버가 재 인증을위한 최종 사용자 메시지를 표시해야한다. 최종 사용자를 재 인증 할 수없는 경우 오류 (일반적으로 login_required)를 반환해야합니다.
- MS Azure :
prompt=login은 사용자가 해당 요청에 대한 자격 증명을 입력하도록하여 단일 로그인을 무효화합니다. - Okta : 없음 또는 로그인 중 하나 일 수 있습니다. 이 값은 Okta가 (필요한 경우) 인증을 요구해서는 안되며, (사용자가 기존 세션을 가졌다 고하더라도) 프롬프트를 강요하지 않아야 하는지를 결정합니다. 기본값 : 기본 동작은 기존 Okta 세션의 존재 여부에 따라 다릅니다.
- Salesforce : 권한 서 v는 사용자에게 재 인증을 요구하여 사용자가 다시 로그인하도록해야합니다. 세션이 만료 될 때 자격 증명을 요청하는 ID 공급자를 강제로 로그인시 원하는 세션 기간에 MAX_AGE을 설정 openid spec
에 정의 된