在 OpenID Connect 中,ID 令牌是经过加密签名的自包含令牌,它允许资源所有者授权访问而无需调用授权服务器。那么,如果授权服务器不需要验证令牌,如何在会话管理场景中撤销它?似乎唯一可以撤销的是刷新令牌,此时 ID 令牌将过期并且用户必须重新进行身份验证。它是否正确?此外,OpenID Connect 提供者/服务器在交付令牌时存储令牌是否有意义?
【问题讨论】:
标签: access-token jwt openid-connect
由于您提到的原因,id_token 无法显式撤销:它是自包含的,可以在不依赖 Provider 的情况下使用。但是,Web 应用程序中的一个典型用法是在收到id_token 时使用它来创建应用程序会话,将来自id_token 的相关信息存储在会话中,然后丢弃id_token 本身。通过实施 OpenID Connect 会话管理扩展,可以根据 Provider 的请求终止该应用程序会话,请参阅:https://openid.net/specs/openid-connect-session-1_0.html。在此 Web SSO 用例中,id_token 的生命周期将受到限制,因为它只能使用一次。
【讨论】:
refresh_token 获得新的id_token,因为id_token 的语义要求用户在场/经过身份验证,即用户必须参与其中;向 Provider 提出新的身份验证请求是可行的方法;在提供者处,SSO 会话可能仍然存在,在这种情况下,新的 id_token 会在没有明确的用户交互的情况下生成