让我们假设有一个身份服务器,其目的是登录和登录。然后,您将拥有一个使用OAuth 2.0通过IS4登录和输出的Android应用程序。现在,当您登录时,您将单击Android应用程序上的"登录"按钮,通过Web浏览器重定向到登录的身份服务器,然后将其重定向到该应用程序。我们还假设所有这些都可以,并且您在整个过程结束时都会获得访问令牌。
我遇到的问题是将您记录下来的行为。现在,我可以在Android应用程序上了解您可以简单地清理访问令牌和刷新令牌,并且用户在应用程序中的任何地方都不再具有访问权限。但是,在您的浏览器上,您仍然登录。这是我迷路的部分。
要完全登录,我现在必须将用户重定向到Web浏览器才能登录,因此现在至少可以单击2个注销才能实际注销。如果我要使用适当的设计,我还应该有一个确认窗口来减轻某些攻击,这使得它可以单击3点登录。然后,您应该去哪里?这是困扰我的部分。我应该将您留在网络浏览器中还是应该在应用程序登录屏幕上推回您?
只是为了澄清我的问题,因为它们实际上是两个:
- 我应该将用户重定向到网站以登录,还是应该将用户列入应用程序?
- 如果我还在网站上注销用户,我是否应该让用户坐在浏览器上坐着,还是应该让用户坐在应用程序打开的情况下?基本上,最终目的地是什么?
您的身份提供者知道会话并将令牌存储在其数据库中。要真正从单个签名的意义上注销,您需要在身份提供商处注销。
Open-ID连接提供了登录请求的端点。请参阅规范的第5节。https://openid.net/specs/openid-connect-session-1_0.html