我有一个利用IS Oauth2 OIDC作为KM 5.5的应用程序。我遇到了一个问题,即重新认证(/ oauth2 / authorize)不断提供相同的访问令牌和expiry_at。
在两种情况下,我观察到此问题: 1.使用iframe进行静默刷新 2.注销(/ oidc / logout)并再次登录(如果先前的令牌尚未过期)
我是否缺少任何配置,或者这实际上符合预期?
谢谢!
答案 0 :(得分:1)
重新认证(/ oauth2 / authorize)继续提供相同的访问令牌和expiry_at
如果您请求的访问令牌具有相同的参数(相同的用户,相同的范围,相同的应用程序,..),则可以在仍然有效的情况下获得相同的令牌(并非像新请求一样会返回新令牌) 。如果您确实需要一个新令牌,则应该撤销现有令牌。
注销(/ oidc / logout),然后再次登录(如果先前的令牌尚未过期)
用户会话和访问令牌没有真正绑定在一起。您可能要在注销时撤消用户的访问令牌