使用 OAuth2 和 OpenID Connect 进行会话管理/撤销

Question

假设我有一个用户使用 OAuth2/OpenID Connect 流程通过身份提供者登录到客户端应用程序的场景，我该如何管理决定撤销客户端对其个人资料的访问权限的用户？也就是说，如何确保客户端应用程序自动终止本地会话？

如上所述，使用外部提供程序登录时，是否有推荐的方法在客户端应用程序级别实施会话管理？

TL;DR：如何使用 OAuth2/OpenID Connect 流程实现单点注销？

Answer 1

您可以查看OpenID Session management draft：

本规范补充了 OpenID Connect Core 1.0 [OpenID.Core] 规范通过定义如何监控最终用户的 在 OpenID Provider 上持续登录状态，以便 信赖方可以注销已注销 OpenID 的最终用户 提供者。

互联网上也有一些关于该主题的文档：

• https://medium.com/@technospace/managing-sessions-with-openid-connect-d3b6fb4f552b
• https://oa.dnc.global/web/-OpenID-Connect-SSO-management-de-session-etc-.html#draftmanagementdesessionopenidconnect
• https://connect2id.com/products/server/docs/api/check-session

您还可以查看 django-oidc-provider 是如何管理这个的： https://django-oidc-provider.readthedocs.io/en/latest/sections/sessionmanagement.html