是否可以从我的后端注销 wso2is?
[英]Is it possible to logout from wso2is from my backend?
问题描述
Are there another ways of doing logout without redirecting my Frontend to oidc/logout page (it works fine,but isn't it insecure sending idToken and my IDP url to frontend ),i have separate front and back end.
是否有另一种方法可以在不将我的前端重定向到 oidc/logout 页面的情况下进行注销(它工作正常,但是将idToken和我的IDP url 发送到前端不是不安全的),我有单独的前端和后端。 Like in Keycloak which invalidates session by sending refreshToken ?就像在Keycloak中一样,它通过发送refreshToken使 session 无效? If not,what is a right way of doing logout in my application?如果没有,在我的应用程序中注销的正确方法是什么?
1 个解决方案
解决方案1
1 已采纳 2021-01-19 12:20:07
We are sending the ID_Token in POST request directly to the IS Server thus it should not have any security concerns.我们将 POST 请求中的 ID_Token 直接发送到 IS 服务器,因此它不应该有任何安全问题。 Using ID_Token as id_token_hint while doing a logout is coming from OIDC specification[1].在注销时使用 ID_Token 作为 id_token_hint 来自 OIDC 规范[1]。 This will prevent attackers from logging out users from their accounts because only the real RP can present the valid ID Token.这将防止攻击者从他们的帐户中注销用户,因为只有真正的 RP 才能提供有效的 ID 令牌。
If you want an alternate way to logout you can make use of session management API[2].如果您想要另一种注销方式,您可以使用 session 管理 API[2]。 But it is recommended to use the logout endpoint.但建议使用注销端点。
[1] https://openid.net/specs/openid-connect-session-1_0.html#RPLogout [2]https://is.docs.wso2.com/en/5.9.0/develop/session-mgt-rest-api/ [1] https://openid.net/specs/openid-connect-session-1_0.html#RPLogout [2]https://is.docs.Z8995A8D9DC109CB7F246////session-session/mg/FZ9.E.com -rest-api/
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.