Есть ли в стандарте Open ID Connect что-либо для прекращения сеанса?

Question

Есть ли в Open ID Connect стандартный механизм для уничтожения активного сеанса? Скажем, у клиента установлен токен доступа, срок действия которого истекает через 2 минуты. Кто-то из центрального местоположения выходит из системы. Идея не допустить жизнеспособности этого токена доступа при следующем запросе, а не по истечении срока действия токена.

Answer 1

Существует несколько проектов, которые могут быть полезны в зависимости от вашей спецификации c:

• https://openid.net/specs/openid-connect-session-1_0.html
• https://openid.net/specs/openid-connect-backchannel-1_0.html
• https://openid.net/specs/openid-connect-frontchannel-1_0.html

Несколько продуктов OID C в настоящее время используют эти методы:

• https://backstage.forgerock.com/docs/am/6/oidc1-guide/#openam -openid-session-management
• https://www.ibm.com/support/knowledgecenter/SSD28V_liberty/com.ibm.websphere.wlp.core.doc/ae/twlp_oidc_session_mgmt_endpoint.html
• Некоторые другие также.

Answer 2

Для этого потребуется, чтобы веб-API связывались с сервером авторизации при каждом отдельном запросе, что приводило бы к проблемам с производительностью.

В качестве наилучшего среднего уровня стандартно использовать токены доступа с коротким сроком службы. Чаще всего по умолчанию это составляет около 30 или 60 минут.

При рассмотрении поведения OAuth в таких областях стоит сравнить со старыми системами:

• Невозможно отозвать куки, как вы описываете - таким образом, безопасность не ухудшается при использовании решений на основе OAuth 2.0

Как правило, можно централизованно отзывать токены refre sh, так что следующий токен refre sh требуется новый логин.