WSO2 IS - OAuth2 / OIDC提供相同的令牌

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了WSO2 IS - OAuth2 / OIDC提供相同的令牌相关的知识,希望对你有一定的参考价值。

我有一个应用程序,它利用IS的Oauth2 OIDC作为KM 5.5。我面临一个问题,即重新认证(/ oauth2 / authorize)继续提供相同的访问令牌和expiry_at。

在两种情况下,我观​​察到了这个问题:1。使用iframe进行静默刷新2.注销(/ oidc / logout)并再次登录(如果前一个令牌未过期)

我错过了任何配置,或者这实际上是预期的吗?

谢谢!

答案

reauthentication(/ oauth2 / authorize)继续提供相同的访问令牌和expiry_at

如果您请求具有相同参数的访问令牌(相同的用户,相同的范围,相同的应用程序,..),如果它仍然有效,您可能会返回相同的令牌(不像新请求会返回一个新令牌)。如果您真的需要新令牌,则应撤销现有令牌。

注销(/ oidc / logout)并再次登录(如果前一个令牌未过期)

用户会话和访问令牌并没有真正绑定在一起。您可能希望在注销时撤消用户的访问令牌

以上是关于WSO2 IS - OAuth2 / OIDC提供相同的令牌的主要内容,如果未能解决你的问题,请参考以下文章

使用 Spring Security + WSO2 身份服务器的 OAuth 2.0

OIDC - 使用 IdentityServer3 和 Spring Boot 实现 OAuth2

15-oauth2+oidc实现Server部分

JHipster - OAuth2/OIDC 需要从访问令牌中读取组

Oauth 2.0 与 Auth0 与 WSO2

带有 wso2 IS 的 Spring Security SAML