调用 /logout 端点后，Keycloak 未注销身份提供程序

Question

我正在尝试使用 Keycloak (13.0.1) 作为身份代理。我有一个 iOS 应用程序，它使用 keycloak 通过 OIDC 身份提供程序登录，然后使用令牌访问 spring-boot 后端。

我的问题是我根本无法让 keycloak 注销也让用户退出身份提供程序会话。

我花了几天时间在谷歌上搜索并查看 stackoverflow 和 keycloak discourse page 以及 git repo，但我找不到具体问题的答案。

使用邮递员测试，第一次点击“Get New Access Token”：

它成功地将我重定向到身份提供者登录页面（我使用 keycloak 提示绕过初始 keycloak 登录页面）。再次按下按钮将跳过 IDP 登录并直接给我令牌。多方便，至少我是这么想的……

问题是当我使用 keycloak 的 /logout 端点使刷新令牌无效时：

它成功返回 204，当我再次单击“获取新访问令牌”时，它会跳过登录表单并直接给我令牌，因此实际上无法注销用户然后使用其他用户登录。绕过此问题的唯一方法是手动单击“清除所有 cookie”按钮。

这是我的 IDP 配置：

另外请注意，在 keycloak admin guied 中指定 keycloak 应该在触发注销时注销 IDP，因此我似乎不应该进行任何特殊配置：

https://www.keycloak.org/docs/latest/server_admin/#identity-broker-logout

重要编辑：

我将此问题标记为已解决且解决方案正确，但我还需要关闭 IDP“反向通道注销”，因为我们公司的 SSO 不喜欢它。 Keycloak 似乎无论如何都可以注销。

Answer 1

它成功地将我重定向到身份提供者登录页面

重定向是关键。它会打开一个浏览器，在其中创建 Keycloak cookie - 这是您的 IdP 会话。您必须在同一浏览器中打开 Keycloak /logout 端点，以便 Keycloak 可以清除自己的 Keycloak cookie。

总结：您必须将用户打开/重定向（API 调用不起作用）到您用于登录的同一浏览器到注销端点（API 调用不起作用）。当然，对于某些特殊流程可能不是这样，但它应该适用于标准授权代码（带/不带 PKCE）。