我正在使用 Cognito 提供的 Web UI 表单,以便用户通过 OAuth 流程登录我们的网站。
我们有一个用例,其中用户应跨浏览器注销所有登录会话。
查看文档,似乎AdminUserGlobalSignOut完全符合我们的要求。但是,在调用它之后,为 foo.auth.us-east-1.amazoncognito.com 保存的"cognito"浏览器cookie仍然有效。下次用户加载 https://foo.auth.us-east-1.amazoncognito.com/oauth2/authorize 时,它们将被转发到回调 URL,就像他们经过身份验证一样,而不是重定向到 foo.auth.us-east-1.amazoncognito.com/login。
我认为这是因为 cookie 不会通过调用 AdminUserGlobalSignOut 而失效,但这似乎是此方法的确切目的。
这是一个错误还是我错过了全局注销用户所需的内容?
我知道现在回答还为时已晚,但我认为这是因为 Token 和 Cookie 彼此独立。
我认为这是预期的行为,因为 AdminUserGlobalSignOut API 只是撤销刷新令牌的功能,而不是使 Cognito 发布的 cookie 无效的功能。
此外,据我所知,没有 API 可以禁用 Cognito 发布的 cookie。我想您必须使用每个注销端点。
配置用户池应用程序客户端 - Amazon Cognito
https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-client-apps.html
重要
如果使用托管 UI 并在不到一小时的时间内设置令牌,最终用户将能够根据其会话 Cookie(当前固定为一小时(获取新令牌。
AdminUserGlobalSignOut - Amazon Cognito Identity Provider
https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUserGlobalSignOut.html
以管理员身份从所有设备注销用户。它还会使颁发给用户的所有刷新令牌失效。用户的当前访问权限和 Id 令牌在到期前一直有效。访问令牌和 Id 令牌在颁发一小时后过期。
注销终端节点 - Amazon Cognito https://docs.aws.amazon.com/cognito/latest/developerguide/logout-endpoint.html