我已按照以下内容在 okta 进行身份验证后进入应用程序。 https://developer.okta.com/docs/guides/implement-grant-type/authcode/main/
我已调用 /logout 端点以手动从我的应用程序中注销,它工作正常。
当我在应用程序中没有做任何事情(空闲)X 时间时,我想自动自动注销。 有没有为此在 okta 服务器中配置的选项?请帮忙。
【问题讨论】:
标签: java session logout servlet-filters okta
这里有几件事
因为它是您的应用程序,您可以随意管理会话。例如,如果用户空闲 15 分钟,只需注销即可
如果您的用户在此之后尝试重新登录您的应用程序,那么这取决于 Okta 会话的生命周期。如果它少于您的应用程序会话时间,那么 Okta 将要求您的用户再次进行身份验证。但是如果 Okta 会话比您的应用会话长,那么用户将能够重新登录而无需再次验证。
Okta 的会话生命周期在 Okta 内部的登录策略中配置(管理员 -> 安全 -> 身份验证 -> 登录)
仅当您在应用注销期间未明确终止 Okta 会话时,上述所有内容才有效,这也可以完成。
更新:默认情况下,许多应用程序使用 id/access token 生命周期来确定您是否需要返回 Okta 来刷新它们(id_token 在 60 分钟后过期,访问 - 取决于 authZ 服务器策略)
【讨论】: