调用end_session_endpoint时,Identityserver4不会撤销访问令牌
调用end_session_endpoint时,IdentityServer4不会撤销访问令牌。
IdentityServer4是一个开源的身份认证和授权解决方案,用于构建安全的身份认证和授权系统。它基于OAuth 2.0和OpenID Connect协议,并提供了丰富的功能和灵活的配置选项。
在OAuth 2.0和OpenID Connect协议中,访问令牌用于访问受保护的资源。当用户完成操作或退出应用程序时,通常需要撤销访问令牌,以确保用户的安全性和隐私。
然而,调用end_session_endpoint时,IdentityServer4不会主动撤销访问令牌。end_session_endpoint是用于结束用户会话的终结点,它通常用于单点注销(Single Sign-Out)场景。当用户在一个应用程序中注销时,该应用程序会向IdentityServer4发送请求,IdentityServer4会结束用户的会话,但不会撤销访问令牌。
撤销访问令牌的责任通常由资源服务器承担。资源服务器可以通过验证访问令牌的有效性,并在需要时撤销访问令牌。撤销访问令牌的具体实现方式取决于资源服务器的技术栈和需求。
腾讯云提供了一系列与身份认证和授权相关的产品,例如腾讯云身份认证服务(Cloud Authentication Service,CAS)和腾讯云访问管理(Cloud Access Management,CAM)。这些产品可以帮助开发者构建安全可靠的身份认证和授权系统,但与本问题的具体内容关联度较低,因此不提供具体产品链接。
总结:调用end_session_endpoint时,IdentityServer4不会撤销访问令牌。撤销访问令牌的责任通常由资源服务器承担。腾讯云提供了与身份认证和授权相关的产品,可用于构建安全可靠的身份认证和授权系统。
相关·内容
在成功地从identity Server4登出之后(我看到日志消息AuthenticationScheme: idsrv signed out),实际的访问令牌仍然有效。因此,有了这个访问令牌,我仍然可以访问我的API。我可以通过调用以下命令来使这些令牌无效:但是我想知
浏览 34提问于2021-02-16得票数 0
1回答
是否需要在数据库中持久化刷新标记
、、、、
我正在使用资源所有者密码流,我成功地获得了访问令牌和刷新令牌,并且我没有在数据库中保留任何令牌,一切都在本地正常工作。但是当我在生产环境中部署identity server时,刷新令牌并不能像预期的那样工作。我设置了访问令牌过期时间20分钟和刷新令牌过期时间7天。如果我在20分钟内或访问令牌到期前刷新访问令牌,则刷新令牌刷新访问
浏览 3提问于2018-10-27得票数 0
我在本地主机上设置了一个IdentityServer4实例。我从ui示例屏幕登录,没有选中记住我的登录。然后,我重新启动服务器,但我仍然登录。IS4依赖于什么来检索会话/用户数据?
浏览 1提问于2018-07-12得票数 0
我们正在使用MSAL库并调用end_session_endpoint url进行注销,这并不会使访问令牌无效。如果我们在注销后使用相同的令牌,它仍然有效。任何相同的修复方法。
浏览 1提问于2019-07-23得票数 2
在应用程序中,当用户注销时,我将撤销该当前会话的引用和刷新令牌。这是一个API,因此其他设备可以登录到应用程序中。我想提供从所有设备中注销或注销的能力。在Identityserver4中,当我们注销时,我们可以使用吊销客户端来撤销令牌://var resultclient.RevokeAccessTokenAsync(token);
//v
浏览 6提问于2017-12-19得票数 0
回答已采纳
1回答
我已经在我们的WebAPI应用程序中实现了基于OAuth令牌的身份验证,并根据数据库验证用户名和密码。但我们不会将访问令牌和刷新令牌同步到任何类型的数据库。这是代码,但是,我有一个问题,令牌值存储在哪里。下面是生成令牌的代码 /// Grant resource owner credentials overload method.ret
浏览 1提问于2019-09-22得票数 0
1回答
我有一个刷新令牌,用于在访问令牌过期时获取访问令牌。除非在获取访问令牌时得到一个错误400,否则我不会获取新的刷新令牌,这通常意味着我的刷新令牌不再有效(用户已经撤销了对我的应用程序的权限)。现在,在撤销对我的应用程序的权限之后,我尝试调用使用访问令牌的API (该令牌尚未过
浏览 9提问于2016-01-11得票数 0
1回答
我在这里读到https://docs.aws.amazon.com/cognito/latest/developerguide/token-revocation.html,撤销刷新令牌将使访问令牌无效它说globalSignout将使刷新令牌无效,并且不会影响https://docs.aws.amazon.com/cognito-user-identity-pools/latest
浏览 8提问于2021-10-19得票数 0
3回答
标识服务器4签名-令牌生存期
、、、、
我想知道的是,在用户签名之后,令牌生命周期的预期行为是什么。考虑以下情况:
await _loginManager.LoggOffAsync(HttpContext.User);另外,如果我访问
浏览 5提问于2019-03-02得票数 0
回答已采纳
我设置了一个使用谷歌进行身份验证的IdentityServer4,它工作得很好,包括在AspNetUserTokens中存储令牌。另外,我有一个单独的服务,需要能够使用访问和刷新令牌来代表用户调用google的API,当他们没有登录时。我不明白如何从identityserver请求令牌,并使它们保持最新(交换访问令牌和到期日期)。我可以直接这样做,方法是向identityserver添加一个端点来请求令牌,但是这样I
浏览 8提问于2018-02-09得票数 2
据我所知,在OAuth中有一个刷新令牌和一个访问令牌。访问令牌不能被撤销,但是使用时间很短,在下一次刷新访问时,如果撤销访问令牌,则将不存在访问令牌。为了简单起见,我只想用一个令牌来使用这个方案,但出于性能方面的考虑,我也想刷新它(而不是检查每个调用的撤销):
客户端向特定端点提供用户名和密码,并接收签名但未加
浏览 0提问于2016-01-25得票数 6
回答已采纳
我通过AAD对访问令牌和撤销权限进行了观察:即使在从AAD撤销App权限之后,我们仍然能够从刷新令牌中获得访问令牌。使用在权限撤销后获得的访问令牌的图形API调用开始失败大约需要15-20分钟(我假设权限撤销需要多长时间才能生效?)但是使用刷新令牌的/token调用一直返回访问令牌(这不起作用,但我认
浏览 3提问于2020-10-29得票数 0
我试图允许GitHub操作调用受IdentityServer4保护的REST。我看了一下GitHub 关于它的OIDC,我知道我可以请求ID令牌内部操作。问题是如何使用这个ID令牌从IdentityServer4获取访问令牌,以便GitHub操作可以调用我的REST?
浏览 6提问于2022-03-14得票数 0
在测试期间,我已经(通过web手动)生成了多个访问令牌,所有这些似乎都是有效的。我可能也产生了一些,但实际上并没有记下它们的任何地方。I: a)列表访问令牌b)删除/撤销不需要的访问令牌该应用程
浏览 4提问于2017-04-30得票数 1
回答已采纳
我已经使用IdentityServer4创建了一个具有我自己的登录页面的IdentityServer应用程序。当用户登录(或因凭据无效而无法登录)时,我需要创建该交互的审核日志记录。为了从我的IdentityServer实例中的登录页面调用该服务,我需要一个访问令牌。在IdentityServer4中是否有类/方法可以直接调用来创建访问令牌?为了获取令牌,对应用程序实例中的令牌端点进行we
浏览 0提问于2017-02-24得票数 1
我正在使用Flask & Oauth 2来验证用户进入我的系统。使用Google登录可以正常工作,但如果我让用户长时间登录,注销会导致此错误。 { "error_description": "Token expired or revoked" <s
浏览 103提问于2019-01-18得票数 1
回答已采纳
我想知道如何使用混合流在IdentityServer4客户机中刷新访问令牌,该流是使用ASP.NET Core构建的。如果我正确理解了整个概念,客户端首先需要有"offline_access“范围,以便能够使用刷新令牌--这是启用短期访问令牌的最佳实践,并且能够撤销刷新令牌,从而防止向客户端发出任何新的访问令牌。或者我应该检查访问令牌的过期时间,无论我在哪里调用<
浏览 5提问于2016-12-15得票数 14
回答已采纳
我在同一个项目中有IdentityServer4和web,我希望在自己的控制器中使用IdentityServer令牌处理,例如,我想在自己的控制器中发出令牌、刷新令牌、撤销令牌,而不调用构建在IdentityServer端点中的其他令牌。
浏览 1提问于2019-03-29得票数 1
回答已采纳
我正在使用AWS函数(Node.js 14.x)调用revokeToken函数来撤销刷新令牌。
撤消由指定的刷新令牌生成的所有访问令牌。在令牌被撤销后,您不能使用已撤销的令牌来访问经过认知的经过身份验证的API。虽然我可以成功地撤销刷新令牌&相关的访问令牌,但以前创
浏览 3提问于2021-10-17得票数 1
回答已采纳
在我的AD B2C应用程序中,我需要撤销AD B2C为用户提供的所有刷新令牌。当用户帐户登录到多个应用程序中,并且在一个应用程序中用户更改了密码时,这是实现的一个要求。(C)使用和客户端凭据流撤销令牌(在AD B2C租户的Ad刀片中注册的应用程序,并允许访问图形api)
(D)上述令牌撤消api调用是成功的,并尝试了步骤(b)。(C)使用和客户端凭据流撤销令牌(在AD B2C租户的Ad刀片中注册的应用程序,并允许<e
浏览 2提问于2019-02-26得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
云直播活动推荐
腾讯云开发者
