撤销令牌和身份验证Cookie

时间:2018-04-27 13:15:44

标签: identityserver4 identityserver3

我们正在使用idsrv3,这是我的设置和有问题的场景:

我们使用带有引用标记的idserv,隐式流,1个web api和1个angularjs客户端。

我们的客户不希望用户在网站上多次登录。

  1. 用户A连接到chrome上的网站
  2. 用户A连接到firefox上的网站,并且吊销了Chrome上的A标记。<​​/ li>
  3. api在chrome上返回401给用户A,已撤销已工作
  4. chrome将用户重定向到使用oidc-client(signinredirect)登录页面
  5. 用户自动登录,因为身份验证Cookie仍然有效。

    6. 我们还对访问令牌进行了无声续订。

    现在我想强制被踢出的用户重新进行身份验证,但如果不删除身份验证Cookie,则无法做到。

    我怎样才能做到这一点?

    我考虑过一个非常长的访问令牌(存储在会话存储中)和ephemere身份验证cookie,或者 在登录重定向之前删除cookie,这将导致无声续订。

    我最好的选择是什么?

    谢谢。

0 个答案:

没有答案
相关问题
最新问题