问题描述
成功重置密码后,有没有办法使用户会话无效?目前,我正试图通过我们的设置(IS 5.8.0)找出某种方法来做到这一点。我们希望实现这样一种情况,即用户在 PC 和移动设备或其他 PC 上登录,他重置密码,然后他应该从所有 PC 和移动设备上注销。
解决方法
IS 通过密码更新事件撤销 sessions 和 accesstokens。
由于您的要求是从应用程序端强制注销用户,
选项 1:
由于accesstoken在身份服务器端被撤销,所以可以定期检查accesstoken是否处于活动状态,如果不活动,可以从应用端强制注销用户。
选项 2:
由于 IS 在撤销活动会话时会触发会话终止事件,您可以编写一些 custom event handler 来监听会话终止事件并编写逻辑以向您的应用程序发送一些自定义通知。
对于 IS5.8.0,您可以使用上述任一选项。
从5.12.0-m5开始,当会话终止被内部触发时(例如:密码更新,会话终止由rest api,注意:如果会话终止是由用户注销机制触发的,则IS已经支持OIDC back-Chanel注销),如果应用程序启用了 OIDC 反向通道注销通知,IS 将向 OIDC 应用程序发送 OIDC 反向通道注销通知。