我正在使用 ADFS 4.0 使用 OpenId Connect / OAuth2 流对我的移动应用程序进行身份验证。基本上,当我登录我的应用程序时,我的移动应用程序会打开一个浏览器来启动流程。每当我从应用程序中注销时,我都需要触发 ADFS 注销页面以清除 cookie 并重定向回应用程序。
我遇到的问题是,当我通过 ADFS 成功进行身份验证时,我需要在我的 API 中为有时会失败的用户执行一些用户验证。如果验证失败,会话 cookie 将保留在移动设备浏览器中,因此不再提示用户输入凭据,因此他陷入无法再次登录应用程序的循环中。我什至不需要将会话 cookie 存储到移动设备浏览器中,因为我使用访问和刷新令牌来处理身份验证后的流程。
我已将我的应用程序配置为 ADFS 中的本机应用程序/Web API。有什么方法可以禁用将 cookie 保存在移动设备浏览器中,或者有没有其他方法可以解决这个问题?