我有2个正在使用身份服务器身份验证的网站(这是第三个网站)
如果我从身份服务器网站注销(我正在使用快速入门),如何强制其他2个网站验证用户是否仍在登录,以及每次往返服务器的操作(发回)
答案 0 :(得分:1)
对于基于浏览器的应用,您可以调用session endpoint:
在此期间用户通过浏览器登录的所有应用程序 用户的会话即可参与注销。
但是,这不会使JWT令牌无效,因为它们是自包含的,并且在到期之前一直有效。
“几乎实时”注销JWT的唯一方法是将到期时间设置为最小,并使用刷新令牌续订访问令牌。
可以使用revocation endpoint撤消这些刷新令牌:
此端点允许吊销访问令牌(仅参考令牌) 并刷新令牌。
这样,您无需每次通话都往返。一种替代方法是使用reference tokens:
使用参考令牌时-IdentityServer将存储内容 数据存储区中令牌的数量,并且只会发出唯一的标识符 将此令牌返回给客户端。收到此参考的API 然后必须打开与IdentityServer的反向通道通信以 验证令牌。
使用撤消端点,您可以随时撤消参考令牌。