Identityserver4 在调用 end_session_endpoint 时不会撤销访问令牌

Question

从身份服务器 4 成功注销后（我看到日志消息 AuthenticationScheme: idsrv signed out.），实际的访问令牌仍然有效。因此，有了这个访问令牌，我仍然可以访问我的 API。

我可以通过调用自己使这些令牌失效：

_persistedGrantService.RemoveAllGrantsAsync(logoutContext.SubjectId, null, logoutContext.SessionId);

但我想知道这是否是正确的方法，因为我期望通过调用 end_session_endpoint 来管理身份服务器。 是不是我做错了什么？

我的退出方法如下所示：

await HttpContext.SignOutAsync();
var logoutContext = await _interactionService.GetLogoutContextAsync(logoutId);
if (logoutContext == null)
{
    return NotFound();
}

// Is this needed?
await _persistedGrantService.RemoveAllGrantsAsync(logoutContext.SubjectId, null, logoutContext.SessionId);

SignOutIframeUrl = logoutContext.SignOutIFrameUrl;

var externalIdp = await GetExternalIdpAsync();
if (externalIdp != null)
{
    // build a return URL so the upstream provider will redirect back
    // to us after the user has logged out. this allows us to then
    // complete our single sign-out processing.
    var url = Url.Page("SignOut", new {logoutId});

    // this triggers a redirect to the external provider for sign-out
    return SignOut(new AuthenticationProperties {RedirectUri = url}, externalIdp);
}

if (logoutContext.PostLogoutRedirectUri != null)
{
    return Redirect(logoutContext.PostLogoutRedirectUri);
}

return Page();

Answer 1

有一件事是您不应该从您的注销方法返回任何视图/数据。相反，SignOutAsync 在内部为您处理。

所以，它可能看起来像这样：

    public async Task DoLogout()
    {
        await HttpContext.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme);
        await HttpContext.SignOutAsync(OpenIdConnectDefaults.AuthenticationScheme);
    }