Oauth 2.0 Open ID Connect的标准中是否有终止会话的内容?
Open ID Connect中是否有标准机制来终止活动会话?Oauth 2.0 Open ID Connect的标准中是否有终止会话的内容?,oauth-2.0,openid-connect,Oauth 2.0,Openid Connect,Open ID Connect中是否有标准机制来终止活动会话? 假设客户端的访问令牌设置为在2分钟内过期。某个中心位置的用户注销该用户。防止访问令牌在下一次请求时(而不是令牌过期时)不可用的想法。这将要求Web API在每次请求时联系授权服务器,这将导致性能问题 使用短期访问令牌作为最佳中间地带是标准的。最常见的情况是默认情况下大约30或60分钟 在类似这样的领域中查看OAuth行为时,值得与较旧的系统进行比较: 以您描述的方式撤销cookie是不可能的,因此使用基于OAuth 2.0的解决方
假设客户端的访问令牌设置为在2分钟内过期。某个中心位置的用户注销该用户。防止访问令牌在下一次请求时(而不是令牌过期时)不可用的想法。这将要求Web API在每次请求时联系授权服务器,这将导致性能问题 使用短期访问令牌作为最佳中间地带是标准的。最常见的情况是默认情况下大约30或60分钟 在类似这样的领域中查看OAuth行为时,值得与较旧的系统进行比较:
- 以您描述的方式撤销cookie是不可能的,因此使用基于OAuth 2.0的解决方案不会使安全性变得更差
但是,通常可以集中撤销刷新令牌,以便下一次令牌刷新需要新登录。这将需要Web API在每次请求时联系授权服务器,这将导致性能问题 使用短期访问令牌作为最佳中间地带是标准的。最常见的情况是默认情况下大约30或60分钟 在类似这样的领域中查看OAuth行为时,值得与较旧的系统进行比较:
- 以您描述的方式撤销cookie是不可能的,因此使用基于OAuth 2.0的解决方案不会使安全性变得更差
但是,通常可以集中撤销刷新令牌,以便下一次令牌刷新需要新的登录。根据您的具体实现,有几个草稿很有用:
- 还有其他几个
- 还有其他几个