OpenID Connect Core 1.0（八）從第三方發起登陸

在某些狀況下,登陸流程由一個OpenID提供者或其餘方發起,而不是依賴方(RP)。在這種狀況下,發起者重定向到RP在發起登陸終結點，RP的請求驗證請求發送到指定的OP。這個發起登陸終結點能夠在RP深度連接，而不是默認的登陸頁面。RPs支持OpenID Connect Dynamic Client Registration 1.0 [OpenID.Registration] 註冊這個終結點，使用 initiate_login_uri 註冊參數值。

第三發起登陸請求被重定向到RP發起登陸終結點,經過如下參數：

iss

必需的。RP發送驗證請求的OP發佈者標識符。它的值必須是一個使用 https方案的URL。

login_hint

可選的。提示給受權服務器關於終端用戶可能使用登陸標識符。若是客戶端接收到一個值爲string化值參數，它必須包含 login_hint 參數值的驗證請求。

target_link_uri

可選的。RP請求的URL重定向後驗證。RPs必須驗證target_link_uri的值以防止被用做 一個開放的外部網站轉向器。

做爲查詢參數傳遞的參數，能夠使用 HTTP GET方法或經過HTML表單值自動提交給用戶代理，固然使用的是HTTP POST方法。

若是定義的擴展,其餘參數可能會被髮送。任何不被客戶理解的參數都必須忽略。

客戶應採用框架破壞和其餘技術來防止終端用戶被他們不瞭解的第三方網站登陸經過 「點擊劫持」等攻擊。[RFC6819]的4.4.1.9 節中有更多的細節。