從 IdentityServer4 注銷時撤銷刷新令牌
[英]Revoke refresh tokens when signing out from IdentityServer4
問題描述
這是我的自定義注銷端點:
[HttpPost("logout")]
public async Task<IActionResult> LogoutAsync()
{
await _interaction.RevokeTokensForCurrentSessionAsync();
await HttpContext.SignOutAsync();
return Ok();
}
它刪除了 IdentityServer cookies 但如果此時用戶有一個 refresh_token 他仍然可以在注銷后使用它。 如何撤銷所有相關的刷新令牌? 我嘗試使用IIdentityServerInteractionService.RevokeTokensForCurrentSessionAsync但它不像預期的那樣工作。
1 個解決方案
解決方案1
1 已采納 2021-04-11 10:47:55
你的客戶是SPA嗎? 如果是,請在注銷操作時從 localstorage 中刪除 refresh_token。
此外,您可以使用 HttpClient 在自定義注銷 function 中向此端點發出 POST 請求:
https://[Your_IdentityServer4_url]/connect/revocation
token_type_hint=refresh_token
client_id=[your_client_id]
client_secret=[your_client_secret]
token=[your_refresh_token]
或者,您可以像這樣在注銷時使用事件來撤銷刷新令牌。
.AddCookie("cookie", options =>
{
options.Cookie.Name = "mvccode";
options.Events.OnSigningOut = async e =>
{
// revoke refresh token on sign-out
await e.HttpContext.RevokeUserRefreshTokenAsync();
};
})
鏈接到文檔 - 這里。
通過oidc-client登錄IdentityServer4時出現InvalidOperationException
[英]InvalidOperationException when signing in to IdentityServer4 via oidc-client
如果服務器重新啟動,我可以從客戶端請求 IdentityServer4 令牌嗎?
[英]Can I request IdentityServer4 tokens from client if server was rebooted?
使用 IdentityServer4 和 DataProtection API 進行令牌簽名
[英]Using IdentityServer4 with DataProtection API for token signing
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何停止IdentityServer4刷新令牌過期?
IdentityServer 創建和撤銷 API 令牌
通過oidc-client登錄IdentityServer4時出現InvalidOperationException
IdentityServer4令牌簽名驗證
IdentityServer4外部身份驗證令牌
如果服務器重新啟動,我可以從客戶端請求 IdentityServer4 令牌嗎?
IdentityServer4刷新令牌為空
使用 IdentityServer4 和 DataProtection API 進行令牌簽名
將 IdentityServer4 配置為僅頒發令牌
IdentityServer4 - 客戶端的委托訪問令牌
相關標簽