KeyClope注销未结束会话

我在使用远程(OIDC)身份提供程序时也有过类似的经历。我发现 HttpServletRequest.logout 确实在中破坏了会话 Keycloak ,但未传播到远程身份提供程序的注销url。当转到远程登录站点时,它会立即将我重定向回来,因为我有一个活动会话。这看起来很像Keyclope会话实际上并没有失效,但我检查了一下,它确实失效了。使用浏览器重定向到url,在这两个位置都注销了。可能是个bug 钥匙斗篷 。

你是否也面临同样的问题?要进行验证,请尝试注销,然后在Keyclope中选择您的客户端并列出会话,以查看它是否仍存在于Keyclope中。

如果从未受保护的页面(未检查有效令牌的页面)执行方法(注销),刷新令牌可能不可用,在这种情况下,适配器将跳过调用。因此,使用受保护的页面来执行HttpServletRequest。建议注销(),以便始终考虑当前令牌,并在需要时执行与KeyClope服务器的交互。 https://www.keycloak.org/docs/latest/securing_apps/index.html#logout

这在受保护的页面中对我有效,但在未受保护的页面中不起作用

public ExternalContext currentExternalContext() {
        if (FacesContext.getCurrentInstance() == null) {
            throw new RuntimeException("message here ");
        } else {
            return FacesContext.getCurrentInstance().getExternalContext();
         }
    }

public void logout() throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest) currentExternalContext().getRequest();
    ExternalContext externalContext = currentExternalContext();
    request.logout();
    externalContext.redirect(externalContext.getRequestContextPath());
}

您需要将Servlet或包含“request.logout()”操作的其余部分作为受保护的资源,以便令牌可用:

查看以下文档: “”

服务器正在传递刷新令牌。如果该方法是从 未受保护的页面(不检查有效令牌的页面)的 刷新令牌可能不可用,在这种情况下,适配器将跳过 电话。因此,使用受保护的页执行 HttpServletRequest。建议注销(),以便当前标记 始终考虑并与{project\u name}交互 如果需要,将执行服务器。

“”