identityserver4 - 撤销的令牌和身份验证 cookie
问题描述
我们在工作中使用 idsrv3,这是我的设置和有问题的场景:
我们使用带有引用令牌、隐式流、1 个 web api 和 1 个 angularjs 客户端的 idserv。
我们的客户不希望用户在网站上多次登录。
- 用户 A 在 chrome 上连接到站点
- 用户 A 连接到 Firefox 上的站点,并且 A 在 chrome 上的令牌被撤销。
- api在chrome上向用户A返回401,撤销工作
- chrome 使用 oidc-client (signinredirect) 将用户重定向到登录页面
- 用户自动登录,因为身份验证 cookie 仍然有效。
我们还对访问令牌进行了静默更新。
现在我想强制被踢出的用户重新进行身份验证,但是如果不删除身份验证 cookie,就不可能做到这一点。
我怎样才能做到这一点?
我考虑过有一个很长的访问令牌(存储在会话存储中)和 ephemere 身份验证 cookie,或者在登录重定向之前删除 cookie,这将破坏静默更新。
我最好的选择是什么?
谢谢你。
解决方案
推荐阅读
- sql-server - 如何在参数提示文本中添加换行符
- ios - TableViewCell 中的元素有多个引用
- gps - 在 Android 8 中使用 GPS 和 DOZE
- r - 添加特定行以使用 R dplyr 创建新行
- jsdoc - jsDoc代码示例中的多行注释
- javascript - 在 nightwatch.js 中使用文档
- php - 使用经过验证的数据上传文件
- python-3.x - pymongo insert_one 文档结构丢失
- java - 如何使用 Spring 数据 JPA 选择 @ElementCollection 属性?
- c# - 在 C# 中将字符串数组转换为浮点数组