在OpenID Connect中,ID令牌是加密签名的自包含令牌,允许资源所有者在不调用授权服务器的情况下授权访问。因此,如果授权服务器不需要验证令牌,那么如何在会话管理场景中撤销它?似乎唯一可以撤销的是刷新令牌,此时ID令牌将过期,用户必须重新进行身份验证。它是否正确?此外,OpenID Connect Provider / Server在交付令牌时是否有意义存储令牌?
答案 0 :(得分:6)
由于您提到的原因,id_token无法显式撤销:它是自包含的,可以在不依赖于Provider的情况下使用。但是,Web应用程序中的典型用法是在收到时使用id_token来创建应用程序会话,在会话中存储来自id_token的相关信息,然后丢弃id_token本身。应用程序会话可以通过实现OpenID Connect会话管理扩展来终止该应用程序会话,请参阅:https://openid.net/specs/openid-connect-session-1_0.html。在此Web SSO用例中,id_token生命周期将受到限制,因为它仅为一次性使用。