WSO2IS：当用户从 WSO2 /myaccount 注销时如何删除所有 OIDC 会话答案

【问题标题】：WSO2IS: How to delete all OIDC sessions when user logout from WSO2 /myaccountWSO2IS：当用户从 WSO2 /myaccount 注销时如何删除所有 OIDC 会话
【发布时间】：2021-03-15 13:42:04
【问题描述】：

我使用 /myaccount 让我的用户管理他们的帐户并访问应用程序。当我启动一个应用程序并且没有从该应用程序中退出，而是从 WSO2IS 中退出时，应用程序的会话仍然有效。

Login to /myaccount with User1 : OK
Launch App(1) from /myaccount, I am logged as User1 : OK
Logout User1 from /myaccount : OK
Login to /myAccount with User2 : OK
Launch App(1) from /myaccount, I am still logged as User1 : NOK

如何在用户 1 注销时关闭所有会话？

感谢您的支持。

WSO2is v5.11.0 (Docker)

【问题讨论】：

标签： wso2 wso2is

【解决方案1】：

如果您为您的应用启用SSO Session based binding，则为您的应用发出的令牌将绑定到会话。

然后启用配置Revoke tokens upon logout。这将在用户注销时撤销绑定到会话的令牌。

所以当用户注销时，所有绑定到会话的令牌都会被撤销。

【讨论】：

您好，谢谢 Piraveena。这是我所做的，我再次尝试但问题仍然存在。还有其他想法吗？
你检查了令牌的状态吗？它应该在注销时被撤销
嗨，好像没有。我不得不说，当我从 /myaccount 单击启动 myApp(1) 时，它会在 Google Chrome 的新选项卡中打开应用程序。尽管按照您的建议设置了将访问令牌绑定到会话，但当我返回 /myaccount 并单击注销时，即使会话因我应该断开连接而终止，我仍然可以继续使用 myApp(1) .
如果您完成了上述配置，令牌将被撤销，IDP会话将被终止。因此，您需要定期检查令牌状态并终止应用程序会话。在你的情况下，我猜你没有终止应用程序会话。这应该从应用程序端完成
谢谢皮拉维纳。我认为，当用户从 WSO2is 注销时，与该用户相关的所有会话也都为他的应用程序关闭。我只需要在 WO2is 中设置一个短暂的生命周期会话，以尽可能地防止这种类型的行为。