我目前使用SamlAuthenticatorValve条目作为上下文使用Apache Tomcat进行了很好的SAML登录。但是,尽管拦截了对受保护内容的访问并且身份验证工作正常,但是我无法使用户注销。从文档中看起来应该像在servlet中调用request.logout()一样容易。确实确实结束了会话,但是在尝试访问受保护的内容时,Tomcat调用了SAML身份验证服务器,并且看起来再次从该服务器获取了有效的会话。
Tomcat或KeyCloak服务器日志上没有明显的错误消息,因此我强烈怀疑从未对身份验证服务器注销端点进行SAML调用。
这是一个已知的错误(使用keycloak-7.0.0)还是导致会话未终止的其他原因?如果确实应该将request.logout()仅终止Tomcat会话(会很奇怪),那么如何为用户触发真正的SAML注销?