OpendID Connect和IDP启动的SSO

在目前的形式下，OpenID Connect无法实现安全的IDP启动SSO。但是，有一个名为第三方启动SSO的功能，允许通过第三方启动身份验证过程，但仍然首先访问RP。

以下是有关第三方启动SSO的详细信息：

https://openid.net/specs/openid-connect-core-1_0.html#ThirdPartyInitiatedLogin

关于IDP-init建议的描述：一个表现良好的RP应该防止这种情况发生 - 从技术上讲，它会启用CSRF - 通过使用“state”参数或（作为较不首选和较不安全的解决方案）在cookie中保留请求状态，这使得RP仅在请求/响应往返期间容易受到CSRF攻击。
正在进行的工作包括描述如何通过OpenID Connect的扩展以安全的方式使用签名消息实现真正的IDP-init-SSO：https://datatracker.ietf.org/doc/html/draft-bradley-oauth-jwt-encoded-state#section-4.3。

由于OpenIDConnect基于OAuth2，理论上应该可以进行IdP启动的SSO，但有一个条件——SP不依赖于在初始请求中传递给IdP的状态，其中状态起到了防伪标记的作用（即在返回请求时，返回状态与SP在初始请求中发送的状态进行比较）。
更详细的答案如下：
OAuth2授权代码流程的第一步是SP重定向到IdP，并且IdP使用一次性代码重定向回来。通常由SP传递state参数，并期望将状态传回。
有两种情况。
SP验证状态（例如将其与临时cookie中存储的状态进行比较）。 IdP SSO将无法工作，因为IdP无法知道/伪造状态，因此无法向充当IdP启动的SSO的SP发出有效请求。
SP不验证状态。然后，IdP可以发出对常规OAuth2请求的响应，但没有实际请求，即重定向到...

 https://sp.com/oauth2?code=...authcode

然后SP从中选择OAuth2握手，就好像它是最先发起握手的SP一样。

换句话说，无论IdP是否启动SSO取决于SP。由于spec建议使用state来防止这种行为（在那里被归类为CSRF），我相信你需要自己解决这个问题。此外，请阅读有关state参数周围可能存在的安全问题的更多信息。

3.1.2.1. Authentication Request […] state-建议。不透明值用于在请求和回调之间保持状态。通常，通过将此参数的值与浏览器cookie加密绑定来执行跨站点请求伪造（CSRF，XSRF）缓解。