【发布时间】:2021-05-05 13:26:46
【问题描述】:
在成功重置密码后,有什么方法可以使用户会话无效?目前我正在尝试用我们的设置(IS 5.8.0)找出一些方法来做到这一点。我们希望实现这样的情况,即用户在 PC 和移动或其他 PC 上登录,他重置了他的密码,然后他应该退出所有 PC 和移动设备。
【问题讨论】:
【发布时间】:2021-05-05 13:26:46
【问题描述】:
IS 通过密码更新事件撤销 sessions 和 accesstokens。
由于您的要求是从您的应用程序端强制注销用户,
选项1:
由于accesstokens在身份服务器端被撤销,您可以定期检查accesstoken是否处于活动状态,如果没有活动,您可以从应用程序端强制注销用户。
选项2:
由于IS在撤销活动会话时触发会话终止事件,您可以编写一些custom event handler来监听会话终止事件并编写逻辑以向您的应用程序发送一些自定义通知。
对于 IS5.8.0,您可以使用上述任一选项。
从 5.12.0-m5 开始,当会话终止被内部触发时(例如:密码更新,通过 rest api 终止会话,注意:如果会话终止是由用户注销机制触发的,IS 已经支持 OIDC 反向通道注销) ,如果应用程序启用了,IS 将向 OIDC 应用程序发送 OIDC 反向通道注销通知。
【讨论】:
-
感谢您的回答,我对此 SESSION_TERMINATE 事件还有其他问题。仅当会话被内部进程终止(更改密码等)或令牌过期时才广播此事件?或者也许这个事件只在密码更改时发生?
-
SESSION_TERMINATE 事件在身份服务器中的用户会话终止时触发。身份服务器在密码更新、注销或调用 api 终止会话等过程中终止了用户的会话。SESSION_TERMINATE 与令牌到期无关。
-
您可以通过调用 oauth2/introspect 端点检查令牌是否过期,并检查令牌是否过期