Вопрос:
после получения токена мы хотим проверить, что выданный токен, принадлежит именно тому пользователю. Как это можно сделать? Есть вариант проверить поле name из id_token, но есть опасения, что там могут быть различия в имени, например лишний пример или ё вместо е
Ответ:
Порядок осуществления проверок зафиксирован в п.9. Стандарта безопасности финансовых операций
Ссылка: 7706 (cbr.ru)
Параметр "sub" в ответе на запрос авторизации является идентификатором конечного пользователя.