Con OpenID Connect, se requiere validar la reclamación de la audiencia del token de ID para asegurarse de que se haya emitido el token de acceso para este cliente específico para evitar el problema del agente confuso. Ahora, en un entorno web, esta verificación parece ser necesaria tanto en el lado del cliente (en JavaScript) como en el lado del servidor. Puedo ver el tipo de ataques prevenidos por la última comprobación, pero no realmente con la primera. ¿Alguien puede explicar qué tipo de ataques evita esto?