问题描述
是否有其他方法可以在不将我的 Frontend 重定向到 oidc/logout 页面的情况下进行注销(它工作正常,但发送 idToken 和我的 是否不安全? >IDP url 到 frontend),我有单独的前端和后端。就像在 Keycloak 中那样通过发送 refreshToken 使会话无效?如果没有,在我的应用程序中注销的正确方法是什么?
解决方法
我们将 POST 请求中的 ID_Token 直接发送到 IS 服务器,因此它不应该有任何安全问题。在注销时使用 ID_Token 作为 id_token_hint 来自 OIDC 规范[1]。这将防止攻击者从他们的帐户中注销用户,因为只有真实的 RP 才能提供有效的 ID Token。
如果您想要另一种注销方式,您可以使用会话管理 API[2]。但建议使用注销端点。
[1]https://openid.net/specs/openid-connect-session-1_0.html#RPLogout [2]https://is.docs.wso2.com/en/5.9.0/develop/session-mgt-rest-api/