我是keycapture的新手,在调用注销api后,即使在注销后我也可以访问该api。在时间access_token有效之前,它是可访问的。理想情况下,在注销后,访问令牌应该是无效的,用户应该不能调用api。有人能帮助我如何通过调用keycapture api或任何其他解决方案来撤销访问令牌吗。
您的API必须支持Back-Channel Logout,当然Backchannel Logout URL必须在Keycapture客户端配置端正确配置。BTW:Keycloft支持从最新版本12.0.0反向通道注销。
您的API将是;被通知";当IdP(Key斗篷(接收到任何注销请求时,即使用户令牌仍然有效,它也可以处理并阻止任何进一步的请求。请记住:in必须得到API代码的支持。
另一种选择是为访问令牌保留非常短的生存期。寿命为5分钟是很正常的。在这种情况下;注销";将基于令牌过期。