IdentityServer Topics(7)- 注销

注销IdentityServer与删除身份cookie一样简单,但为了完成联合注销,我们必须考虑将用户从客户端应用程序(甚至可能是上游身份提供程序)中注销。

删除身份Cookie

要删除身证cookie,只需在HttpContext的扩展方法SignOutAsync即可。你需要传递一个值IdentityServerConstants.DefaultCookieAuthenticationScheme ,如果你修改了他,那么使用你自定义的值。

await HttpContext.SignOutAsync(IdentityServerConstants.DefaultCookieAuthenticationScheme);

或者

await HttpContext.SignOutAsync();

通常,您应该提示用户注销(意思是需要POST方式提交注销请求),否则攻击者可能会热链接到您的注销页面(GET方式),导致用户被自动注销。

通知客户端已被注销的用户信息

作为注销过程的一部分,您需要确保向客户端应用程序通知用户已注销。IdentityServer支持服务器端的客户端(MVC Client)的前端通信规范,服务器端的客户端(MVC Client)的后端通信规范,以及基于浏览器的JavaScript客户端(例如SPA,React,Angular等)的会话管理规范。

前端通信

要通过前端通信规范从服务器端的客户端应用程序注销用户,IdentityServer中的“注销”页面必须呈现<iframe>以通知客户端用户已注销。希望被通知的客户端必须设置FrontChannelLogoutUri的值。IdentityServer跟踪用户登录的客户端,并在IIdentityServerInteractionService(详情)上提供名为GetLogoutContextAsync的API。该API返回一个带有SignOutIFrameUrl属性的LogoutRequest对象,所以你注销的页面必须呈现为<iframe>

后端通信

通过后端通信来注销用户,IdentityServer中的SignOutIFrameUrl端点将自动触发服务器到服务器的调用,将签名注销请求传递给客户端。这意味着即使没有前端客户端,IdentityServer中的“注销”页面仍然必须呈现一个<iframe>到SignOutFrameUrl,希望收到通知的客户端必须设置BackChannelLogoutUri配置值

基于浏览器的JavaScript客户端

鉴于会话管理规范是如何设计的,IdentityServer中没有什么特别的,您需要通知这些客户端用户已经退出。 但是,客户端必须对check_session_iframe执行监视,并且这由oidc-client JavaScript库实现。

由客户端应用程序发起的注销

如果注销是由客户端应用程序启动的,则客户端首先将用户重定向到最终会话端点。 在会话结束端点进行处理可能需要通过重定向到注销页面来维护一些临时状态(例如,客户端的注销,注销重定向uri)。 该状态可能对注销页面有用,并且状态的标识符通过logoutId参数传递到注销页面。

交互服务上的GetLogoutContextAsync API可用于加载状态。感兴趣的是ShowSignoutPrompt,它指示注销请求是否已通过身份验证,因此不会提示用户注销。

默认情况下,此状态作为通过logoutId值传递的受保护数据结构进行管理。 如果您希望在会话终端和注销页面之间使用其他持久性,则可以实现IMessageStore <LogoutMessage>并在DI中注册实现。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏何俊林

一种Android客户端架构设计分享

导读:今天是请aspook分享的Android客户端的架构设计,aspook的blog:http://blog.csdn.net/ahence/article...

2165
来自专栏大内老A

.NET Core的依赖注入[1]: 控制反转

写在前面:我之前写过一系列关于.NET Core依赖注入的文章,由于.NET Core依赖注入框架的实现原理发生了很大的改变,加上我对包括IoC和DI这些理论层...

633
来自专栏程序员宝库

Hybrid App技术解析 -- 原理篇

随着 Web 技术和移动设备的快速发展,Hybrid 技术已经成为一种最主流最常见的方案。一套好的 Hybrid架构方案 能让 App 既能拥有极致的体验和性能...

922
来自专栏PhpZendo

事件驱动架构设计

这篇文章是 软件架构演进 一个有关 软件架构 系列文章中的一篇。这些文章,主要是我学习软件架构、对软件架构的思考及使用方法的记录。相比于这个系列的前几篇文章,本...

702
来自专栏刘君君

Rest Notes-基于网络应用的架构风格

1122
来自专栏Rainbond开源「容器云平台」

【微服务】微服务实战(二):使用API Gateway

1614
来自专栏恰同学骚年

《大型网站技术架构》读书笔记三:大型网站核心架构要素

此篇已收录至《大型网站技术架构》读书笔记系列目录贴,点击访问该目录可获取更多内容。

542
来自专栏张善友的专栏

面向资源与面向活动的 Web 服务

每当一些 Web 应用服务提供方提出允许开发者集成他们的服务的 Web 服务 API 时,大家都非常关心由 API 实现的互操作设计模式。如果 API 使用的是...

1725
来自专栏SDNLAB

ONOS架构之子系统介绍

前言: 为了方便灵活性,ONOS采取的是一种模块化结构,一方面能灵活地组织各种模块,容易让开发者扩展出新的模块,同时通过隔离令系统的模块各司其职而不会互相干扰。...

2746
来自专栏Linyb极客之路

API设计:先思考再编码

793

扫码关注云+社区