我有一个密钥遮盖域,其中一些用户是NodeJS+TypeScrip项目的IdP。
我目前有这两个会话,如图所示:如果我按"全部注销"按钮,它们将从此处消失,但它们仍然有效。
示例:
1) I create a new session. I get its JWT token as a response
2) I do a GET req on one of the protected routes with the token attached. It works.
4) I logout all sessions by pressing the button in that photo
5) I do the same GET req on the same protected route. It still works.
I expect it NOT to work, because I previously logged out all sessions.
这是我的密钥罩配置
import express, {Application} from 'express';
import { Keycloak as KeycloakType } from "keycloak-connect";
var session = require('express-session');
var Keycloak = require('keycloak-connect');
let _keycloak: KeycloakType;
var memoryStore = new session.MemoryStore();
let kcConfig = {
clientId: 'restapi',
bearerOnly: true,
serverUrl: 'http://localhost:8080/auth',
realm: 'supercatalog',
realmPublicKey: 'deleted'
};
function getKeycloak() {
if (_keycloak) {
return _keycloak;
}
console.log("Initializing Keycloak...");
_keycloak = new Keycloak({ store: memoryStore }, kcConfig);
return _keycloak;
}
export {getKeycloak, memoryStore};
我的受保护路由
router.get('/', keycloak.protect(), async (req:Request, res:Response):Promise<void> => {
var bearerToken: string = await (await keycloak.getGrant(req, res)).toString() as string;
var decoded: any = jwtDecode(bearerToken);
console.log(decoded.resource_access.restapi.roles);
res.send("hello");
});
我是否误解了令牌流?
一般来说,会话独立于JWT。JWTs的优点(和缺点)是,应用程序可以只使用发行者的公钥来加密验证它们,公钥可以是预先粉碎的,也可以是动态查找和缓存的。JWT是self-encoded access token的一个例子,这意味着您无需不断回调中央身份验证/授权服务即可对其进行验证。这使得它们非常适合于分布式系统和零信任体系结构中的身份验证,在这种体系结构中,如果您可以信任颁发者公钥,您就可以验证和信任提供的JWT。
但这也有不利的一面。JWT包括一个过期时间,在此时间之前,应用程序将认为它是有效的。如前所述,JWT的使用者,如REST API,不需要与发布服务对话来验证它。
因此,在您的特定情况下,您的应用程序会看到一个JWT,对其进行加密验证,并验证它是否尚未过期,从而接受它。
使用JWT的系统的去中心化本质意味着通常不会撤销JWT本身。这是因为它需要维护一个吊销列表,而您必须有一个中央服务来做到这一点。这并不是说这在技术上是不可能的,但这样做一开始就失去了使用JWTs的大部分好处。
由于会话是独立于JWT进行管理的,因此您可以使会话无效,而为其发出的JWT仍然有效。如果您需要有效的会话,那么您必须独立于基于JWT的身份验证来强制执行该会话。