除了检查签名之外,我想知道Keycloak客户端如何验证令牌。我的意思是,如果用户向OID'/ logout'端点发出了注销请求,令牌签名验证仍将通过,因此如果令牌已被注销使客户端无效,则客户端必须转到KC服务器。所以我的问题是,对于我的应用收到的每个请求,客户端是否都前往Keycloak检查令牌是否仍然有效?
在OIDC中,通常不会每次通过将令牌发送到密钥斗篷服务器来主动检查令牌。而是仅在本地检查令牌(通过使用服务器公钥进行签名验证)。
因此,您是对的,客户端不会立即识别注销。
因此,您经常会在流程中区分arefresh
和access
令牌。该access_token
有一个非常短的寿命(<= 5分钟),用于对用户进行认证,并通过签名验证检查。当access_token
不再有效时,客户端需要使用refresh_token
来主动access_token
从keycloak获取新密钥。在此步骤中,keycloak将在颁发新令牌之前检查用户是否仍在登录。
因此,refresh_token
可以有更长的寿命,并且用户不必总是再次输入其凭据。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句