我正在尝试在我的一个项目中实现OpenId Connect for SSO。但是,我想在资源服务器端验证OpenId JWT令牌使其无状态,我有点挣扎。如果用户尝试注销,授权服务器将了解用户注销(相应的OpenId Connect会话管理规范)。但是Authorization Server应该如何告诉Resource Server用户的令牌不再有效?注销时用户使用OpenId令牌进入资源服务器并获取访问权限。这很奇怪,我无法在互联网上找到任何解决方案。请帮我组织无状态安全与中央注销。
答案 0 :(得分:0)
您可以使用Token Introspection端点来确定传递的访问令牌是否有效。在授予对资源的访问权限之前,资源服务器可以调用OP的内省端点来验证令牌。为了有效地验证令牌,资源服务器应该:
以上链接规范中有更多细节供进一步理解。
P.S。我之前写的answer还有其他一些相关的参考资料。
答案 1 :(得分:0)
您可以使用jwt承载流,您可以在其中将ID令牌/断言令牌传递给OP以生成访问令牌。