OpenIDでシングル・サインオンを検証しております。
LINEのoauth2/v2.1で一通り動作しているのですが、
リプレイアタック防止に関して知識不足で勉強中です。

nonce値の取り回しに関して下記サイトが分かりやすく解説頂いているのですが、
セッションの一貫性に関して咀嚼出来ておりません。

https://tech-lab.sios.jp/archives/13087

疑問点

Pelying Partyで最初に保持しているセッションに確実に戻ってくる保証はあるのでしょうか？

考察

OpenID Connect Providerにリダイレクトで制御が移った時点で、ドメインが違うのでセッションは分断されてしまうと思います。

###質問
OpenID Connect Providerが認証結果をcalllback(リダイレクト）すると、callback urlがPelying Partyと同じ
FQDNの場合cookie情報(セッションID)は保持されたままPelying Partyに戻ってくるとの理解で問題ないでしょか？

セッションの一貫性を担保する方法を実装をする必要があるかどうかを確認したく投稿しました。
宜しくお願いします。