【问题标题】:How should the behaviour of an auth server after logout?注销后身份验证服务器的行为应该如何?
【发布时间】:2020-01-22 09:18:08
【问题描述】:

我正在对产品进行评估,并且看到了不同的实现。所以我想知道哪个是正确的。

使用的库:manfredsteyer/angular-oauth2-oidc

示例 #1:

我尝试与 Keycloak 集成。

注销的行为,如下:

  • 使会话令牌无效。
  • 退出 idp 以防止来自浏览器的任何其他 SSO。

示例 #2:

我将我的应用程序集成到 AWS Cognito。

注销的行为,如下

  • 不会使会话令牌无效。
  • 只要令牌有效,仍然允许签名。

我能问一下这些行为中哪些是正确的吗?还是根据我的需要?

【问题讨论】:

    标签: oauth-2.0 single-sign-on


    【解决方案1】:

    Cognito 具有供应商特定的注销端点,因此我认为您需要覆盖默认行为。

    请参阅 Step 12 of my write upcoded solution,其中解释了我是如何使用 OIDC 客户端库做到这一点的。

    如果有兴趣,您可以在 this page 上运行我部署的 SPA。

    【讨论】:

      猜你喜欢
      • 2016-07-25
      • 2015-01-07
      • 1970-01-01
      • 1970-01-01
      • 2014-10-31
      • 2013-08-28
      • 2015-05-25
      • 2019-09-29
      • 2017-03-03
      相关资源
      最近更新 更多