我们的 PHP Laravel 服务最初为域配置了 cookie
.example.com
,允许令牌在所有子域中有效。然而,最近,在我们的代码库或 .env
配置没有任何可识别的修改的情况下,存储在浏览器中的令牌现在是专门为 example.com
域设置的。
此转变为之前登录的用户尝试注销带来了问题。由于先前令牌 (example.com) 的域设置与尝试在
.example.com
上注销的单点登录 (SSO) 服务之间存在差异,用户无法完成注销操作。尽管进行了彻底的检查,我们尚未发现我们的服务或配置有任何故意更改。
我们正在寻求指导,了解是否有一种方法可以强制应用程序自动撤销以前发行的代币。这将需要用户再次登录,获取与我们当前设置相符的新令牌。
您对潜在解决方案或可能导致这种差异的任何相关更改的见解将不胜感激。
我们找不到任何方法来撤销之前授予的身份验证令牌。因此,我们更改了 cookie 中的令牌密钥,例如
new-token
。一切顺利,如果一些用户仍然拥有以前的令牌和新的令牌,则不会发生冲突。当之前的 token 过期后,用户 cookie 中的一切都会显得正常。