【问题标题】:Keycloak access_token valid after logout api call注销api调用后keycloak access_token有效
【发布时间】:2021-03-31 05:25:10
【问题描述】:

我是keycloak的新手,在调用logout api后,即使在注销后我也可以访问api。 在 access_token 有效之前可以访问它。理想情况下,注销后访问令牌应该是无效的,并且用户不应该能够调用 API。 任何人都可以通过调用keycloak api或任何其他workarround来帮助我如何撤销访问令牌。

【问题讨论】:

  • 你使用openid-connect吗?
  • 是的,我正在使用 openid-connect

标签: node.js keycloak


【解决方案1】:

您的 API 必须支持 Back-Channel Logout,当然 Backchannel Logout URL 必须在 Keycloak 客户端配置端正确配置。顺便说一句:Keycloak 从最新版本 12.0.0 支持反向通道注销。

当 IdP (Keycloak) 收到任何注销请求时,您的 API 将被“通知”,因此即使用户令牌仍然有效,它也可以处理它并阻止任何进一步的请求。请牢记:必须由您的 API 代码支持。

另一种选择是保持访问令牌的生命周期非常短。有 5 分钟的寿命是很正常的。在这种情况下,预计“注销”将基于令牌到期。

【讨论】:

    猜你喜欢
    • 2022-12-14
    • 1970-01-01
    • 2017-07-06
    • 2021-09-18
    • 2019-02-24
    • 2018-03-23
    • 2022-01-19
    • 2012-11-18
    • 1970-01-01
    相关资源
    最近更新 更多