从 IdentityServer4 注销时撤销刷新令牌

Revoke refresh tokens when signing out from IdentityServer4

这是我的自定义注销端点:

[HttpPost("logout")]
public async Task<IActionResult> LogoutAsync()
{
    await _interaction.RevokeTokensForCurrentSessionAsync();
    await HttpContext.SignOutAsync();
    return Ok();
}

它会删除 IdentityServer cookie,但如果此时用户有 refresh_token 他在注销后仍然可以使用它。如何撤销所有相关的刷新令牌?我尝试使用 IIdentityServerInteractionService.RevokeTokensForCurrentSessionAsync,但效果不如预期。

您的客户是SPA吗?如果是,请在注销操作时从本地存储中删除 refresh_token。

此外,您可以使用 HttpClient 在自定义注销函数中向此端点发出 POST 请求:

https://[Your_IdentityServer4_url]/connect/revocation
    token_type_hint=refresh_token
    client_id=[your_client_id]
    client_secret=[your_client_secret]
    token=[your_refresh_token]

或者,您可以像这样使用事件在注销时撤销刷新令牌。

.AddCookie("cookie", options =>
    {
        options.Cookie.Name = "mvccode";

        options.Events.OnSigningOut = async e =>
        {
            // revoke refresh token on sign-out
            await e.HttpContext.RevokeUserRefreshTokenAsync();
        };
    })

Link 到文档 - here.