0

我的 Web 应用程序已通过 OpenID 连接登录。当我测试注销按钮时,我被重定向到配置的注销 URL,但是当我再次尝试登录时,我已经登录了。

我希望它像这样工作:

  • 当我注销时,我已注销。
  • X 分钟过去后,我会自动注销,如果我尝试在浏览器窗口中执行某些操作,我将被重定向到“您尚未登录”页面。

如何控制会话?或者,注销按钮的功能?

4

1 回答 1

0

注销操作会从浏览器中清除登录 cookie。这意味着下一个请求没有经过身份验证的用户。

要限制 Cookie 时间,您可以在 Oauth 提供者中控制它。

目前,一个未触及的应用程序,如果有一个无效的 cookie,在您导航到另一个页面之前,它看起来就像已登录 - 然后 cookie 将被发现是陈旧的 - 然后 oauth 服务器可能(取决于设置)发出一个新令牌,而您仍然登录 - 或未经身份验证拒绝,您将被带到登录页面。

于 2020-11-04T11:35:03.473 回答