Oauth 2.0 keydove中的单点注销原则

我正在为我的项目SSO解决方案探索Key斗篷，我正在这个博客上尝试开放连接

---

我想问一个关于单点退出的问题，我想知道背后的原则是什么。试图搜索在线文档，但我没有找到任何线索。有一段时间，我一直认为在oauth2 world中没有一个优雅的单点注销解决方案。

这是KeyClope实现它的方式（是的，这不是OAuth的一部分）：

• 在使用Java客户机在应用程序中使用Key斗篷创建服务器端会话时，一旦触发Key斗篷处的注销，Key斗篷将触发会话注销。您需要在KeyClope中为您的应用程序设置管理员URL。这在文档中称为“反向通道注销”

• 当您在HTML5客户机中使用keydove时，keydove将创建一个隐藏的IFRAME，该IFRAME将检查keydove Cookie是否仍然存在。如果不是，HTML5应用程序会知道您已注销

似乎是当今的发展方向。它的工作原理是在应用程序中公开一个特殊的端点（

backchannel\u logout\u uri

），当用户从SSO注销时，OpenID提供程序将调用该端点。通过此端点，提供程序将向您提供一个已签名的注销令牌，以通知您的应用程序用户的会话应该终止
由于用户可以从多个设备、浏览器等登录，OpenID提供程序还可以包括会话ID（

sid

claim）作为注销令牌的一部分。您可以将其与登录期间在ID令牌中收到的

sid

进行比较，以决定终止哪个会话

---

标准的后通道注销是在KeyClope 12.0中实现的，它是。早期版本只实现了一种可选的专有机制。
是否有此单次注销的详细文档或流程图？在《服务器管理和安全应用程序指南》中只有多个参考，但没有深入的文档。@ahus1这仅适用于OpenID Connect客户端，SAML客户端没有管理员URL字段“backchannel logout”非常重要&谢谢…在注销KeyClope应用程序时遇到问题