当我们生成新的 keycloak (V-24) 令牌时,它工作正常,但之前的令牌也可以工作,因此我们希望使之前的令牌过期。
我们尝试在登录之前注销。 我们还从 keycloak 管理 UI 添加了用户会话计数限制器流程。
可以撤销的是会话(授权服务器上有一个,每个客户端上都有一个
oauth2Login
),但是在资源服务器内运行的 JWT 解码器无法知道客户端和授权服务器发生了什么会议。
您无法撤销 JWT 访问令牌的事实是它不应该离开您信任的服务器的原因之一。如果您想保持对用户会话的控制,则不得将 JWT 访问令牌发送到单页面或移动应用程序。当您关闭会话时,存储在该会话中的令牌将被删除。