Tengo entendido que el reclamo c_hash en id_token se usa para prevenir ataques IdPMixUp ( enlace ).
Tengo dos dudas:
-
¿
- es el IdP MixUp relevante en primer lugar? Algunas fuentes parecen creer que no es relevante ( enlace ),
- ¿Alguien puede explicar por qué la validación de c_hash ayudaría a mitigar ese ataque?