amazon-cognito - AWS Cognito AdminUserGlobalSignOut 不会使 Cognito cookie 无效?
问题描述
我正在使用 Cognito 提供的 Web UI 表单,让用户使用 OAuth 流程登录我们的网站。
我们有一个用例,用户应该退出所有跨浏览器的登录会话。
查看文档,似乎AdminUserGlobalSignOut完全符合我们的要求。但是,在调用它后,为 foo.auth.us-east-1.amazoncognito.com 保存的“cognito”浏览器 cookie 仍然有效。下次用户加载https://foo.auth.us-east-1.amazoncognito.com/oauth2/authorize时,他们会被转发到回调 url,就好像他们已经过身份验证一样,而不是被重定向到 foo.auth.us -east-1.amazoncognito.com/login。
我认为这是因为调用 AdminUserGlobalSignOut 不会使 cookie 失效,但这似乎是此方法的确切目的。
这是一个错误还是我错过了全局注销用户所需的东西?
解决方案
我知道现在回答有点晚了,但我认为这是因为 Token 和 Cookie 是相互独立的。
我认为这是预期的行为,因为 AdminUserGlobalSignOut API 只是撤销刷新令牌的功能,而不是使 Cognito 发出的 cookie 无效的功能。
另外,据我所知,没有 API 可以禁用 Cognito 发布的 cookie。我猜你必须使用每个注销端点。
配置用户池应用程序客户端 - Amazon Cognito
https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-client-apps.html
重要的
如果您使用托管 UI 并设置令牌不到一小时,最终用户将能够根据他们当前固定为一小时的会话 cookie 获取新令牌。
AdminUserGlobalSignOut - Amazon Cognito 身份提供商
https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUserGlobalSignOut.html
以管理员身份从所有设备上注销用户。它还会使颁发给用户的所有刷新令牌无效。用户当前的访问权和 Id 令牌在到期之前一直有效。Access 和 Id 令牌在发行后一小时到期。
注销终端节点 - Amazon Cognito https://docs.aws.amazon.com/cognito/latest/developerguide/logout-endpoint.html
推荐阅读
- ms-access - 执行与 DLookup 相关的代码时出现错误“条件或表达式中的数据类型不匹配”
- javascript - React 中的砌体网格
- vb.net - 三元如果在 vb.net 中使用可为空的 DateTime 表现出奇怪的行为
- php - Laravel 5.5 更新多对多关系模型的复选框
- html - 如何从?
- python - Pytest:如何使用输入调用测试单独的函数?
- python - 如何在本地开发一个python包?
- c# - C# 错误:“名称 '..' 在当前上下文中不存在”
- html - 媒体查询后 HTML 元素未恢复到原始状态
- scala - 使用火花流从 kafka 读取流并为其分配模式