我正在研究Keycloak和相关协议OpenID & OAuth2。
除了一件事,所有事情都很清楚,如何维护已登录用户的滑动会话。也许我误会了一些东西。
Authorization Flow首先将用户重定向到keycloak登录页面,成功登录后,用户将使用redirect url重定向到authorization code。Access token(还包括客户端ID,机密等)和ID token的代码。 Access token以便从密钥库服务器中检索详细信息,例如用户附加信息,公共密钥等。因此Access token仅由应用程序使用。 ID token设置cookie。现在,用户可以访问受保护的资源。 我们共有
Access token存储在服务器端,仅由应用程序或服务用于从Keycloak检索其他信息。 Refresh token存储在服务器端,仅由应用程序或服务用于获取新的Access token ID token存储在用户的cookie中,用于访问系统的受保护资源。我的问题是,ID token应该如何刷新。考虑以下情况,用户已登录并在系统中执行了一些操作,但是托克突然过期了。这种情况应该如何处理?
我已经实现了自己的流程Sliding session,因此如果有任何请求,令牌会刷新,但是我不知道如何使用Keycloak处理这种情况。
感谢您对此事的帮助。