8.11. 身份验证会话

如上一节所述，这种情况可能涉及一个用户，可以从单个浏览器的多个标签页向红帽构建 Keycloak 服务器进行身份验证。但是，当用户在一个浏览器标签页中进行身份验证时，其他浏览器标签页将自动重启身份验证。由于红帽构建的 Keycloak 登录页面上提供了小型 javascript，因此会发生此身份验证。重启通常会在其他浏览器标签页中验证用户，并重定向到客户端，因为现在有一个 SSO 会话，因为用户刚刚在第一浏览器标签页中成功进行身份验证。当用户没有在其他浏览器标签页中自动进行身份验证时（如使用 OIDC 参数 提示=login 或 step-up 身份验证 ）时，会出现一些罕见的异常。

在某些情况下，在第一个浏览器选项卡中进行身份验证后可能会发生，其他浏览器标签页将无法重启身份验证，因为身份验证会话已经过期。在这种情况下，特定的浏览器选项卡将以特定协议的特定方式将有关过期身份验证会话的错误重定向到客户端。如需了解更多详细信息，请参阅安全应用程序部分的 OIDC 文档 的对应部分。当客户端应用程序收到此类错误时，它可以立即将 OIDC/SAML 身份验证请求重新提交到红帽构建的 Keycloak，因为这通常应该因为上述现有 SSO 会话自动验证用户。因此，最终用户在所有浏览器标签页中自动进行身份验证。保护 应用程序部分中的 Keycloak JavaScript 适配器，以及 红帽构建的 Keycloak 身份提供程序 支持，以自动处理这个错误，并重试身份验证到红帽构建的 Keycloak 服务器。