在OpenID Connect中,ID令牌是加密签名的自包含令牌,允许资源所有者在不调用授权服务器的情况下授权访问 . 因此,如果授权服务器不需要验证令牌,那么如何在会话管理场景中撤销它?似乎唯一可以撤销的是刷新令牌,此时ID令牌将过期,用户必须重新进行身份验证 . 它是否正确?此外,OpenID Connect Provider / Server在交付令牌时是否有意义存储令牌?
由于您提到的原因,无法显式撤销 id_token :它是自包含的,可以在不依赖于Provider的情况下使用 . 但是,Web应用程序中的典型用法是在收到时使用 id_token 来创建应用程序会话,在会话中存储来自 id_token 的相关信息,然后丢弃 id_token 本身 . 应用程序会话可以通过实现OpenID Connect会话管理扩展来终止该应用程序会话,请参阅:https://openid.net/specs/openid-connect-session-1_0.html . 在此Web SSO用例中, id_token 生存期将受到限制,因为它仅为一次性使用 .
id_token
1 回答
由于您提到的原因,无法显式撤销
id_token:它是自包含的,可以在不依赖于Provider的情况下使用 . 但是,Web应用程序中的典型用法是在收到时使用id_token来创建应用程序会话,在会话中存储来自id_token的相关信息,然后丢弃id_token本身 . 应用程序会话可以通过实现OpenID Connect会话管理扩展来终止该应用程序会话,请参阅:https://openid.net/specs/openid-connect-session-1_0.html . 在此Web SSO用例中,id_token生存期将受到限制,因为它仅为一次性使用 .