L’Introspection Endpoint esposto dall’OP consente ai RP di ottenere informazioni su un token in loro possesso, come ad esempio la sua validità.
Considerazione maturata all’interno del gruppo di lavoro idem-oidc 2019.
L’uso di introspection endpoint in SPID serve esclusivamente ad evitare che si possano usare access token scaduti e di conseguenza ripetere il login (prompt) a supporto delle long-running sessions (app mobile ad esempio). Per prevenire questo l’ RP verifica il proprio refresh token presso l’introspection endpoint e se questo token fosse ancora valido l’RP utilizzerebbe direttamente questo per rinnovare l’access token.
L’introspection in questo caso d’uso di SPID servirebbe come accessorio per una migliore user-experience, se il suo uso non venisse implementato nel RP semplicemente quest’ultimo reiterebbe una richiesta di autorizzazione (login prompt).
In SPID il refresh token dura 30 giorni.