如何使依赖方与 OpenID Connect 提供商的 session 无效(注销)?
最佳答案
至少有一些规范支持这一点,但它们不是 openid 连接规范本身的一部分。实现可能支持也可能不支持这一点。这是我发现经常支持的一个:http://openid.net/specs/openid-connect-session-1_0.html#RPLogout
注意:在 openid connect 中注销是很棘手的。您要使哪个 session 无效?只是RP?如果是这样,RP 可以在没有凭据的情况下直接重新登录,因为 OP(OpenID Connect 身份提供者)仍然有一个 session 。如果还有其他RP怎么办?只是一些需要思考的问题。
关于security - OpenID Connect 中的注销等效于什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40208572/