【问题标题】:AWS Cognito AdminUserGlobalSignOut does not invalidate Cognito cookie?AWS Cognito AdminUserGlobalSignOut 不会使 Cognito cookie 无效?
【发布时间】:2018-12-04 09:55:36
【问题描述】:

我正在使用 Cognito 提供的 Web UI 表单让用户通过 OAuth 流程登录我们的网站。

我们有一个用例,用户应该退出所有跨浏览器的登录会话。

查看文档,AdminUserGlobalSignOut 似乎完全符合我们的要求。但是,在调用它后,为 foo.auth.us-east-1.amazoncognito.com 保存的“cognito”浏览器 cookie 仍然有效。下次用户加载 https://foo.auth.us-east-1.amazoncognito.com/oauth2/authorize 时,他们会被转发到回调 url,就好像他们已经过身份验证一样,而不是被重定向到 foo.auth.us-east-1.amazoncognito.com/login。

我认为这是因为调用 AdminUserGlobalSignOut 不会使 cookie 失效,但这似乎正是此方法的确切用途。

这是一个错误还是我遗漏了全局注销用户所需的内容?

【问题讨论】:

标签: amazon-cognito aws-cognito


【解决方案1】:

我知道现在回答有点晚了,但我认为这是因为 Token 和 Cookie 是相互独立的。

我认为这是预期的行为,因为 AdminUserGlobalSignOut API 只是撤销刷新令牌的功能,而不是使 Cognito 发出的 cookie 无效的功能。

另外,据我所知,没有 API 可以禁用 Cognito 发布的 cookie。我猜你必须使用每个注销端点。


配置用户池应用程序客户端 - Amazon Cognito
https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-client-apps.html

重要

如果您使用托管 UI 并设置令牌少于一小时,最终用户将能够根据他们当前固定为一小时的会话 cookie 获取新令牌。

AdminUserGlobalSignOut - Amazon Cognito 身份提供商
https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUserGlobalSignOut.html

以管理员身份从所有设备上注销用户。它还会使颁发给用户的所有刷新令牌无效。用户当前的访问权和 Id 令牌在到期之前一直有效。 Access 和 Id 令牌在颁发后一小时过期。

注销终端节点 - Amazon Cognito https://docs.aws.amazon.com/cognito/latest/developerguide/logout-endpoint.html

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2023-03-25
    • 2018-10-05
    • 1970-01-01
    • 2018-12-10
    • 2018-04-03
    • 2015-08-06
    • 1970-01-01
    • 2017-03-25
    相关资源
    最近更新 更多