Luc*_*cca 8 cookies session login logout keycloak
我目前正在使用keycloak 2.5.0进行一个小项目,我已经设置了用户登录名,现在正尝试实现一个页面范围的注销按钮。
随着文档状态,被简单地称为路线 HTTP://我-auth服务器/认证/领域/主/协议/ OpenID的连接/注销REDIRECT_URI = HTTP://application-root.com/ 对于起见简单起见,我使用了一个锚标记来发出此GET请求。
如果我看看firefox开发人员工具的“网络”标签,一切似乎都工作正常。我正在获取重定向请求的302状态代码。之后,该应用程序成功请求状态代码为200的http://application-root.com/,并将我重定向到此页面。
但是当我想再次请求锁定的内容(由密钥斗篷保护的内容)时,它仍然可以访问。
但是,每当我在重定向后手动删除JSESSIONID和KEYCLOAK_ADAPTER_STATE cookie时,一切正常,并且我可以正确注销。可悲的是我无法以编程方式删除这些cookie,因为它们是HttpOnly
此请求的预期行为是什么?
我想念什么吗?
有没有人经历过类似的经历?
谢谢你的帮助
我使用Keycloak 4.8.3版本实现了注销。强制参数是 id 令牌 (id_token_hint)。可选参数是重定向 url (post_logout_redirect_uri)。例子:
http://my-auth-server/auth/realms/master/protocol/openid-connect/logout?id_token_hint=eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJEY0gyNnl0OFV0OEJQTGxoR&post_logout_redirect_uri=http:%2F%2Fapplication-root.com%2F