Con OpenID Connect è necessario convalidare la richiesta del pubblico del token ID per assicurarsi che il token di accesso sia stato emesso per questo specifico client al fine di prevenire il Problema del Problema Confuso. Ora, in un ambiente web, questa verifica sembra essere richiesta sia sul lato client (in JavaScript) che sul lato server. Riesco a vedere il tipo di attacchi prevenuti da quest'ultimo controllo, ma non proprio con il primo. Qualcuno può spiegare che tipo di attacchi questo impedisce?