到目前为止,我在网络应用中使用基于声明的解决方案遇到的问题是,如果在SSO服务器上我撤消声明或删除用户帐户,则用户的令牌仍在其Cookie中并且在令牌过期之前仍然有效,允许他们继续访问Web应用程序。一旦在服务器上进行了更改,是否有办法强制更新用户的令牌或强制撤销令牌(或者每次用户尝试加载页面时只用身份服务器检查?)?更新索赔也是如此......有时我们会添加权利。用户必须注销并重新登录才会非常烦人。请帮忙。我们正在使用C#Web Apps和Thinktecture IdentityServerv3
答案 0 :(得分:0)
您可以使用刷新令牌和较小的身份验证令牌生命周期来强制客户端定期返回。它不是立即撤销,但它可以用来减少服务器撤销和客户端更改之间的时间段。