如何解决是否可以从我的后端从 wso2is 注销?
是否有其他方法可以在不将我的 Frontend 重定向到 oidc/logout 页面的情况下进行注销(它工作正常,但发送 idToken 和我的 是否不安全? >IDP url 到 frontend),我有单独的前端和后端。就像在 Keycloak 中那样通过发送 refreshToken 使会话无效?如果没有,在我的应用程序中注销的正确方法是什么?
解决方法
我们将 POST 请求中的 ID_Token 直接发送到 IS 服务器,因此它不应该有任何安全问题。在注销时使用 ID_Token 作为 id_token_hint 来自 OIDC 规范[1]。这将防止攻击者从他们的帐户中注销用户,因为只有真实的 RP 才能提供有效的 ID Token。
如果您想要另一种注销方式,您可以使用会话管理 API[2]。但建议使用注销端点。
[1]https://openid.net/specs/openid-connect-session-1_0.html#RPLogout [2]https://is.docs.wso2.com/en/5.9.0/develop/session-mgt-rest-api/
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
