La mia comprensione è che la rivendicazione c_hash in id_token viene utilizzata per prevenire gli attacchi IdPMixUp ( link ).
Ho due dubbi:
- l'IdP MixUp è rilevante in primo luogo? Alcune fonti sembrano ritenere che non sia pertinente ( link ),
- qualcuno può spiegare perché la convalida c_hash potrebbe aiutare a mitigare quell'attacco?