Fatal编程技术网
  • keycloak/
  • Keycloak 具有不同会话到期长度的客户端的keydepot

Keycloak 具有不同会话到期长度的客户端的keydepot

keycloak

Keycloak 具有不同会话到期长度的客户端的keydepot,keycloak,Keycloak,我对KeyClope非常陌生,希望将其用于SSO,但我们的一些应用程序希望具有不同的会话过期长度,例如应用程序A为4小时,应用程序B为8小时 为了实现这一点,我需要将KeyClope设置为最短的过期时间,在本例中为4小时 这是唯一的办法吗?或者从长远来看,keybeave可以对每个客户采取不同的处理方式 例如 密钥斗篷会话设置为16小时,如果来自应用程序A的请求,它将强制用户登录 https://keycloak/oicd/login/?client_id=app_a&.... 目前还

我对KeyClope非常陌生,希望将其用于SSO,但我们的一些应用程序希望具有不同的会话过期长度,例如应用程序A为4小时,应用程序B为8小时

为了实现这一点,我需要将KeyClope设置为最短的过期时间,在本例中为4小时

这是唯一的办法吗?或者从长远来看,keybeave可以对每个客户采取不同的处理方式

例如

密钥斗篷会话设置为16小时,如果来自应用程序A的请求,它将强制用户登录

https://keycloak/oicd/login/?client_id=app_a&....
目前还不清楚会话在您的情况下意味着什么。当应用程序具有有效的id/访问令牌(通常是短期的,例如5分钟)且应用程序定期刷新/更新令牌(例如使用刷新令牌)时,用户被记录。理论上,刷新可以无限期运行,但实际上
脱机会话
超时应用于刷新令牌,因此它可以受到限制

除此之外还有IdP SSO会话,这意味着当用户被重定向到IdP登录页面=用户最近已通过身份验证且仍具有该SSO会话时,用户/应用程序将在不要求用户凭据的情况下获得令牌

无论如何,KeyClope为您提供了在领域级别自定义会话/令牌超时的选项:

其中一些超时也可以在客户端级别被覆盖:

注意:在所有这些超时之间可能存在许多依赖关系,因此请始终测试您的设置,看看它如何满足您的需要。例如,它如何变得复杂:

不清楚会话在您的案例中的含义。当应用程序具有有效的id/访问令牌(通常是短期的,例如5分钟)且应用程序定期刷新/更新令牌(例如使用刷新令牌)时,用户被记录。理论上,刷新可以无限期运行,但实际上
脱机会话
超时应用于刷新令牌,因此它可以受到限制

除此之外还有IdP SSO会话,这意味着当用户被重定向到IdP登录页面=用户最近已通过身份验证且仍具有该SSO会话时,用户/应用程序将在不要求用户凭据的情况下获得令牌

无论如何,KeyClope为您提供了在领域级别自定义会话/令牌超时的选项:

其中一些超时也可以在客户端级别被覆盖:

注意:在所有这些超时之间可能存在许多依赖关系,因此请始终测试您的设置,看看它如何满足您的需要。例如,它有多复杂:

我要问的是SSO会话,有没有办法强迫特定客户机登录,即使存在SSO会话?@JamesLin,这是不可能的。来自同一领域的客户端共享同一个SSO会话,因此,如果在客户端级别可以配置任何不同的SSO会话超时,那么它们将相互冲突。因此,这些客户端可能位于不同的领域,具有不同的SSO会话超时,但这听起来有点过头了。你应该重新考虑你的要求。还有,我想问的是SSO会话,有没有办法强迫特定的客户端登录,即使存在SSO会话?@JamesLin,这是不可能的。来自同一领域的客户端共享同一个SSO会话,因此,如果在客户端级别可以配置任何不同的SSO会话超时,那么它们将相互冲突。因此,这些客户端可能位于不同的领域,具有不同的SSO会话超时,但这听起来有点过头了。你应该重新考虑你的要求。也看到