WSO2 IS - OAuth2/OIDC 给出相同的标记
WSO2 IS - OAuth2/OIDC Giving the same token
我有一个应用程序将 IS 的 Oauth2 OIDC 作为 KM 5.5。我面临重新身份验证 (/oauth2/authorize) 继续提供相同访问令牌和 expiry_at 的问题。
我在两种情况下观察到这个问题:
1. 使用 iframe 静默刷新
2.注销(/oidc/logout)并重新登录(如果之前的令牌还没有过期)
我是否缺少任何配置,或者这实际上符合预期?
谢谢!
reauthentication (/oauth2/authorize) keep giving the same access token and expiry_at
如果您请求具有相同参数(相同用户、相同范围、相同应用程序等)的访问令牌,如果它仍然有效,您可能会取回相同的令牌(不像新请求那样 return 你一个新的令牌)。如果你真的需要一个新的令牌,你应该撤销现有的令牌。
Logout (/oidc/logout) and Login again (if the previous token hasnt expired)
用户会话和访问令牌并没有真正绑定在一起。您可能希望在注销时撤销用户的访问令牌
我有一个应用程序将 IS 的 Oauth2 OIDC 作为 KM 5.5。我面临重新身份验证 (/oauth2/authorize) 继续提供相同访问令牌和 expiry_at 的问题。
我在两种情况下观察到这个问题: 1. 使用 iframe 静默刷新 2.注销(/oidc/logout)并重新登录(如果之前的令牌还没有过期)
我是否缺少任何配置,或者这实际上符合预期?
谢谢!
reauthentication (/oauth2/authorize) keep giving the same access token and expiry_at
如果您请求具有相同参数(相同用户、相同范围、相同应用程序等)的访问令牌,如果它仍然有效,您可能会取回相同的令牌(不像新请求那样 return 你一个新的令牌)。如果你真的需要一个新的令牌,你应该撤销现有的令牌。
Logout (/oidc/logout) and Login again (if the previous token hasnt expired)
用户会话和访问令牌并没有真正绑定在一起。您可能希望在注销时撤销用户的访问令牌