2.4.3.6. 客户端发起的后向身份验证授权

客户端初始通道身份验证级别由希望与 OpenID 提供程序通信的客户端直接通信，而无需通过 OAuth 2.0 的授权代码授权等用户浏览器进行重定向。

客户端请求 Red Hat Single Sign-On a auth_req_id，用于标识客户端发出的身份验证请求。红帽单点登录创建 auth_req_id。

在收到这个 auth_req_id 后，这个客户端需要重复轮询 Red Hat Single Sign-On 以获取 Access Token、Refresh Token 和 ID Token，以返回 auth_req_id，直到用户通过身份验证为止。

如果客户端使用 ping 模式，则不需要重复轮询令牌端点，但可以等待红帽单点登录向指定的客户端通知端点发送的通知。客户端通知端点可以在 Red Hat Single Sign-On 管理控制台中配置。有关客户端通知端点的合同详情请参考 CIBA 规格。

如需了解更多详细信息，请参阅 OpenID Connect Client Initiated Backchannel Authentication Flow 规格。

另请参阅 Red Hat Single Sign-On 文档的其它位置，如 本指南的"后端身份验证"和" 服务器管理指南 "的"客户端 初始身份验证"一节。有关 FAPI CIBA 合规性的详情，请参考 本指南的 FAPI 部分。