<div dir="ltr">Direct grant (tokens obtained directly from /auth/realms/{realm}/protocol/openid-connect/token) results in a new user session being created. This session is not tied to the browser session in any way. To do that you should use the proper redirect based login. <div><br></div><div>The token introspection endpoint returns that the token is still valid after you&#39;ve logged from the admin console because you have two separate user sessions. To invalidate the token obtain directly from &#39;token&#39; endpoint you&#39;d have to call logout on that separately.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 24 June 2016 at 10:08, Jannik Hüls <span dir="ltr">&lt;<a href="mailto:jannik.huels@googlemail.com" target="_blank">jannik.huels@googlemail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">Hi,<div><br></div><div>I use the <i>/auth/realms/{realm}/protocol/openid-connect/token</i>  endpoint to create a User Session. The Session is shown inside keycloak and i get the access_token, refresh_token and id_token.</div><div>When I now call the <i>/auth/realms/{realm}/protocol/openid-connect/token/introspect </i>I get a valid response containing <i>“active”:”true” </i>amongst others. I call it using POST method and providing <i>cient_id</i>, <i>client_secret</i> and <i>token</i> parameter as data. The <i>token</i> parameter contains the <i>access_token</i> value. </div><div><br></div><div>I now log in to keycloak administrator and logout the User. Now I again call the introspection endpoint but still get a response containing <i>&quot;active&quot;:”true”</i>. It seems that keycloak is caching the User Session and after some time I get <i>“active”:”false”. </i>May I be able to disable caching and to immediately get a introspection response that indicates that the User Session does not longer exist?</div><div><br></div><div>Btw.: The same happens when I call the <i>/auth/realms/{realm}/protocol/openid-connect/logout?redirect_uri= </i>endpoint. I provided the <i>access_token</i> in the header. POST parameters are <i>client_id</i>, <i>client_secret</i> and <i>refresh_token</i> is this case.</div><div><br></div><div>I use the introspection endpoint in the different RPs I use to validate whether the access_token is revoked in order to introduce single logout. Hence it would be nice to disable the caching to have less inconsistence. </div><div><br></div><div>Bests</div><span class="HOEnZb"><font color="#888888"><div>Jannik</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></font></span></div><br>_______________________________________________<br>
keycloak-user mailing list<br>
<a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/keycloak-user" rel="noreferrer" target="_blank">https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br></blockquote></div><br></div>