如何在用户会话过期后强制客户端(RP)签名

Question

拓扑

使用IdentityServer4实现的内部OIDC服务器(OP)。

我们的SPA应用程序的内部后端客户端(RP)代理web服务器。

RP用作资源的内部REST服务器。

认证流程

混合，带有反向通道支持OP和RP。

问题所在

RP处于“登录错觉”状态。当用户通过RP登录时，OP和RP将正确地为具有默认过期时间的用户创建服务器和本地会话cookie。

没有刷新令牌流，所以有一个场景，用户的访问令牌过期了，他们仍然使用过期的令牌访问资源服务器。这正确地将401返回给用户。

如果我确实将用户的OP登录会话设置为过期，但RP决定无限期地让用户在本地签名，会发生什么情况？

我想出了几种可能的解决方案：

1. 要求每条路径都受到挑战，这样重定向到登录流就会启动。
2. 反向通道注销流。

考虑到我们的架构，选项2似乎是最好的选择，但我想知道它是否过于工程化了。我真的需要RP签出它的本地用户时，说用户已经签署了OP。

参考文献

1. Idsrv标志

Answer 1

在我看来，前或后通道标志是正确的做法。

不过，要记住，只有当用户显式地签署退出时，它才会启动。

您还可以使用会话监视，以便在用户的会话发生更改时立即得到通知，然后采取适当的操作。但是，请注意，这一默认实现不会使会话ID cookie的过期与主身份验证cookie对齐。