[Satosa] Richiesta chiarimento identificazione flusso same device vs cross device

[Zicchio]

Quando il satosa backend deve provare a distinguere tra flusso cross device e same device, nel pre-auth endpoint fa questa cosa
(1)

eudi-wallet-it-python/pyeudiw/satosa/default/openid4vp_backend.py

Lines 210 to 216 in 1cad07f

	if is_smartphone(context.http_headers.get('HTTP_USER_AGENT')):
	# Same Device flow
	res_url = f'{self.config["authorization"]["url_scheme"]}://authorize?{url_params}'
	return Redirect(res_url)
	# Cross Device flow
	res_url = f'{self.client_id}?{url_params}'

mentre nel response endpoint si fa questa cosa
(2)

eudi-wallet-it-python/pyeudiw/satosa/default/response_handler.py

Lines 189 to 195 in 1cad07f

	if stored_session['session_id'] == context.state["SESSION_ID"]:
	# Same device flow
	cb_redirect_uri = f"{self.registered_get_response_endpoint}?response_code={response_code}"
	return JsonResponse({"redirect_uri": cb_redirect_uri}, status="200")
	else:
	# Cross device flow
	return JsonResponse({"status": "OK"}, status="200")

Mi chiedo:
a. C'è un motivo per la quale le due strategie son diverse? Non si potrebbe usare il metodo (1) in entrambi gli endpoint?
b. Come fa (2) a funzionare? Se non ho capito male, (2) verifica che l'ID di sessione di satosa di inizio autenticazione (sessione aperta con il browser e recuperabile dai cookie) sia uguale alla sessione della chiamata HTTP della wallet instance (chiamata proveniente da un backend) ma mi verrebbe da dire che queste due sessioni sono sempre diverse (sia cross device che same device). È così? Purtoppo non mi viene in mente un metodo per verificare questa ipotesi.

@peppelinux tu sai qualcosa in merito?