WSO2 IS - OAuth2 / OIDC提供相同的令牌
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了WSO2 IS - OAuth2 / OIDC提供相同的令牌相关的知识,希望对你有一定的参考价值。
我有一个应用程序,它利用IS的Oauth2 OIDC作为KM 5.5。我面临一个问题,即重新认证(/ oauth2 / authorize)继续提供相同的访问令牌和expiry_at。
在两种情况下,我观察到了这个问题:1。使用iframe进行静默刷新2.注销(/ oidc / logout)并再次登录(如果前一个令牌未过期)
我错过了任何配置,或者这实际上是预期的吗?
谢谢!
答案
reauthentication(/ oauth2 / authorize)继续提供相同的访问令牌和expiry_at
如果您请求具有相同参数的访问令牌(相同的用户,相同的范围,相同的应用程序,..),如果它仍然有效,您可能会返回相同的令牌(不像新请求会返回一个新令牌)。如果您真的需要新令牌,则应撤销现有令牌。
注销(/ oidc / logout)并再次登录(如果前一个令牌未过期)
用户会话和访问令牌并没有真正绑定在一起。您可能希望在注销时撤消用户的访问令牌
以上是关于WSO2 IS - OAuth2 / OIDC提供相同的令牌的主要内容,如果未能解决你的问题,请参考以下文章
使用 Spring Security + WSO2 身份服务器的 OAuth 2.0
OIDC - 使用 IdentityServer3 和 Spring Boot 实现 OAuth2