Fatal编程技术网
  • oauth-2.0/
  • Oauth 2.0 Open ID Connect的标准中是否有终止会话的内容?

Oauth 2.0 Open ID Connect的标准中是否有终止会话的内容?

oauth-2.0

Oauth 2.0 Open ID Connect的标准中是否有终止会话的内容?,oauth-2.0,openid-connect,Oauth 2.0,Openid Connect,Open ID Connect中是否有标准机制来终止活动会话? 假设客户端的访问令牌设置为在2分钟内过期。某个中心位置的用户注销该用户。防止访问令牌在下一次请求时(而不是令牌过期时)不可用的想法。这将要求Web API在每次请求时联系授权服务器,这将导致性能问题 使用短期访问令牌作为最佳中间地带是标准的。最常见的情况是默认情况下大约30或60分钟 在类似这样的领域中查看OAuth行为时,值得与较旧的系统进行比较: 以您描述的方式撤销cookie是不可能的,因此使用基于OAuth 2.0的解决方

Open ID Connect中是否有标准机制来终止活动会话?
假设客户端的访问令牌设置为在2分钟内过期。某个中心位置的用户注销该用户。防止访问令牌在下一次请求时(而不是令牌过期时)不可用的想法。

这将要求Web API在每次请求时联系授权服务器,这将导致性能问题

使用短期访问令牌作为最佳中间地带是标准的。最常见的情况是默认情况下大约30或60分钟

在类似这样的领域中查看OAuth行为时,值得与较旧的系统进行比较:

  • 以您描述的方式撤销cookie是不可能的,因此使用基于OAuth 2.0的解决方案不会使安全性变得更差
但是,通常可以集中撤销刷新令牌,以便下一次令牌刷新需要新登录。

这将需要Web API在每次请求时联系授权服务器,这将导致性能问题

使用短期访问令牌作为最佳中间地带是标准的。最常见的情况是默认情况下大约30或60分钟

在类似这样的领域中查看OAuth行为时,值得与较旧的系统进行比较:

  • 以您描述的方式撤销cookie是不可能的,因此使用基于OAuth 2.0的解决方案不会使安全性变得更差
但是,通常可以集中撤销刷新令牌,以便下一次令牌刷新需要新的登录。

根据您的具体实现,有几个草稿很有用:

一些OIDC产品目前正在使用这些方法:

  • 还有其他几个
根据您的具体实施情况,有两个草案非常有用:

一些OIDC产品目前正在使用这些方法:

  • 还有其他几个
该规范将内省定义为可用于每个请求的en端点(在更高安全性的场景中)。假设端点(在STS上)已经被每个请求命中,那么在内存中保留令牌黑名单并不是一个很大的飞跃。如果您有高安全性且不太频繁的特定操作,这可能是有意义的。这将取决于授权服务器是否具有撤销访问令牌(以及刷新令牌)的可用选项。出于兴趣,我倾向于在体系结构上使用内省(如中所述)和缓存结果(如中所述)。您可以实现类似的功能,并编写一些代码将高安全性请求从缓存中选择出来。该规范将内省定义为可用于每个请求的en端点(在更高安全性的场景中)。假设端点(在STS上)已经被每个请求命中,那么在内存中保留令牌黑名单并不是一个很大的飞跃。如果您有高安全性且不太频繁的特定操作,这可能是有意义的。这将取决于授权服务器是否具有撤销访问令牌(以及刷新令牌)的可用选项。出于兴趣,我倾向于在体系结构上使用内省(如中所述)和缓存结果(如中所述)。您可能会实现类似的功能,并编写一些代码,将高安全性请求从缓存中选择出来。