我创建了一个与Keycloak的OpenID身份验证集成的Django应用程序。到目前为止,我遇到的唯一紧迫的问题是注销功能。
当我通过Django应用程序注销时,我可以实现它,以便它也将用户从Keycloak中注销。但是,我找不到执行相反操作的方法。通过Keycloak帐户管理界面注销不会使用户从Django应用注销。这意味着,即使用户已经从Keycloak中注销,该用户仍然可以在Django应用上保持身份验证,这似乎是一个安全问题。
据我从大多数其他类似的StackOverflow帖子中了解到的那样,Keycloak应该可以回调到Web应用程序以注销用户,但是关于如何实现它的记录并不十分清楚:
https://www.keycloak.org/docs/latest/securing_apps/index.html#admin-url-configuration
有人知道如何在Django上实现吗?
我使用了Django 2.1 + mozilla-django-oidc软件包。