如何从ALB OIDC会话注销?
ALB OIDC(Application Load Balancer OpenID Connect)是AWS(亚马逊云服务)提供的一种身份验证机制,它允许用户使用现有的身份提供者(如Google、Facebook等)进行身份验证和授权。
要从ALB OIDC会话注销,可以按照以下步骤进行操作:
- 在应用程序中,提供一个注销按钮或链接,让用户点击以触发注销操作。
- 当用户点击注销按钮时,应用程序后端应该执行以下操作:
- 使用户的会话无效,以确保他们无法再访问受保护的资源。
- 向ALB OIDC提供的注销终结点发送请求,以通知身份提供者注销用户。
- 后端应用程序可以使用AWS SDK或HTTP请求库来发送注销请求。注销请求应包含以下信息:
- 注销终结点的URL,该URL是ALB OIDC提供的。
- 用户的身份验证令牌,该令牌是在用户登录时获得的。
- 注销请求发送后,ALB OIDC会将请求转发给用户选择的身份提供者。身份提供者将执行以下操作:
- 使用户的身份验证令牌无效,以确保用户无法再使用该令牌进行身份验证。
- 重定向用户到一个指定的URL,以确认注销操作已成功完成。
- 用户被重定向到指定的URL后,应用程序可以显示一个注销成功的消息,或者将用户重定向到登录页面,以便他们可以重新登录。
需要注意的是,ALB OIDC会话注销的具体实现可能因应用程序的不同而有所差异。上述步骤提供了一个基本的指导框架,但具体的实现方式可能需要根据应用程序的需求和架构进行调整。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云身份认证服务(CAM):https://cloud.tencent.com/product/cam
- 腾讯云负载均衡(CLB):https://cloud.tencent.com/product/clb
- 腾讯云API网关(API Gateway):https://cloud.tencent.com/product/apigateway
- 腾讯云函数计算(SCF):https://cloud.tencent.com/product/scf
- 腾讯云容器服务(TKE):https://cloud.tencent.com/product/tke
- 腾讯云数据库(TencentDB):https://cloud.tencent.com/product/cdb
- 腾讯云安全组(Security Group):https://cloud.tencent.com/product/sfw
- 腾讯云内容分发网络(CDN):https://cloud.tencent.com/product/cdn
- 腾讯云人工智能(AI):https://cloud.tencent.com/product/ai
- 腾讯云物联网(IoT):https://cloud.tencent.com/product/iot
- 腾讯云移动开发(Mobile):https://cloud.tencent.com/product/mobile
- 腾讯云对象存储(COS):https://cloud.tencent.com/product/cos
- 腾讯云区块链(Blockchain):https://cloud.tencent.com/product/baas
- 腾讯云游戏多媒体引擎(GME):https://cloud.tencent.com/product/gme
- 腾讯云元宇宙(Metaverse):https://cloud.tencent.com/product/metaverse
相关·内容
1回答
从我们应用程序中的Onelogin帐户注销用户
onelogin、openid-connect
我有一个问题,如果你能尽快回复的话会更好。我们使用OIDC身份验证代码流来向oneLogin验证我们的应用程序。我们想要实现一个注销功能,但问题是当撤销令牌并重定向到我们的应用程序主页时,如果用户登录到oneLogin,它会将用户发送回oneLogin并再次进行身份验证,这使得不可能从我们的应用程序注销。
所以我的问题是,我们有没有办法从oneLogin注销用户,因此当重定向发生时,会再次请求用户的凭据?
或者,是否有任何建议的方法来实现OIDC身份验证码流,从而绕过此注销问题?
浏览 1提问于2018-10-11得票数 0
1回答
如何从ALB OIDC会话注销?
amazon-web-services、go、openid-connect、aws-application-load-balancer
我使用OIDC与ALB进行身份验证和登录。成功登录后,我可以在浏览器中看到AWSELBAuthSessionCookie-0。对于注销,我将上面的cookie值设置为-1,并将用户重定向到应用程序主页。我期待它应该重定向到OIDC登录页面,但我没有得到登录页面再次ALB cookie自动创建,我可以看到主页,而无需重新登录。 这是用golang写的代码-- deletingCookie := http.Cookie{Name: "AWSELBAuthSessionCookie-0", Path: "/", MaxAge: -1}
http.SetCoo
浏览 21提问于2020-06-12得票数 5
1回答
单点登录策略
security、microservices、sso
我一直在从事一个将基于spring云的微服务和MVC应用程序与SSO集成的项目。目前,我使用spring会话作为会话存储库服务。我的当前应用程序登录组件包含一个在后端创建会话的身份验证服务器,以及一个调用此类登录服务的前端客户端,它可以正常工作。但是,当我从其他应用程序注销时,我的当前策略是重定向到这个登录组件的注销页面,然后向后端服务发送一个ajax调用,将存储在会话存储库中的会话设置为过期。只有当用户成功地重定向到登录组件以注销时,此方法才有效。
我考虑直接从其他应用程序调用注销服务,而不是将所有注销请求重定向到登录组件,但是对于所有其他应用程序,我需要实现注销服务。
在SSO环境中,将使
浏览 0提问于2018-10-24得票数 1
1回答
基于认知的AWS Gov云应用负载均衡器认证规则
amazon-web-services、amazon-ec2、amazon-cognito、aws-application-load-balancer
在AWS的商业云(us-west-2)中,我可以在我的HTTPS (443)侦听器上创建一个ALB侦听器规则,首先对一个认知用户池进行身份验证(使用OIDC集成Azure AD),然后在成功的身份验证后转发到一个Ec2实例。
我在gov云(gov-west-1)中也尝试了同样的方法,并且没有任何选项可以在负载平衡侦听器规则中进行身份验证,只有纯OIDC身份验证。
这个特性是否存在于Gov云中?
我特别讨论了图像中显示的附加“插入规则”UI。在我的gov云帐户(gov-west-2)中,“亚马逊认知”并不是“1.Authentucate”下拉列表中的选项。唯一存在的选项是"OIDC“。
浏览 0提问于2021-09-16得票数 2
回答已采纳
2回答
ASP.NET核心OpenID连接中的单点登录
asp.net-core、.net-core、oauth-2.0、openid-connect、auth0
我有许多应用程序可以通过Auth0单点登录(SSO)对用户进行身份验证。其中一个是ASP.NET Core应用程序,它使用 (OIDC)中间件。单点登录效果很好。对于当前应用程序的单点退出,我将从OnRedirectToIdentityProviderForSignOut事件中调用Auth0的OnRedirectToIdentityProviderForSignOut端点,每个。然而,我不知道如何配置应用程序,以清除本地会话时,有一个SSO会话从另一个应用程序签出。
将用户重定向到注销端点并不包括需要将用户从其使用的所有应用程序中签出的场景。如果需要提供此功能,则必须通过以下两种方式之一来处
浏览 4提问于2021-05-28得票数 1
回答已采纳
1回答
当应用程序托管在AWS Alb之后时,使用Okta实现注销
openid-connect、okta、aws-application-load-balancer
所以这个问题是关于当你的应用程序托管在AWS Alb上时,如何正确地从Okta注销用户。
应用程序架构: AngularJs (1.7.9)应用程序运行在节点12服务器上。使用Okta OIDC进行身份验证/授权。
有关注销的Okta文档可在此处找到:
它基本上是说向注销端点发出GET请求,并包含Id令牌和重定向url。所以基本上请求应该是这样的:。当我们在本地主机上运行应用程序时,这就像广告中所说的那样工作。
但在云端,OAuth是由Alb负责的。我们得到的是附加到请求的以下标头。x-amzn-oidc-accesstoken,x-amzn-oidc-identity和x-amzn-oidc
浏览 1提问于2021-04-30得票数 1
1回答
无法用Azure AD OAuth使用AWS应用程序负载均衡器
amazon-web-services、authentication、jwt、openid-connect、aws-application-load-balancer
我有一个项目,在ASP.NET应用程序负载均衡器(ALB)后面的AWS EC2实例上托管一个AWS站点。
我有一个ALB侦听器“身份验证”规则,它接收没有有效cookie的任何流量,并将其转发给Azure AD OAuth prvoider (又名OIDC Autentication)。身份验证工作良好,具体如下:
HTTPS流量访问我的ALB,而且由于以前没有OIDC身份验证,所以它将用户转发到Microsoft的Azure AD身份验证页面,以供Azure AD租户使用。
在成功的身份验证中,Azure AD将响应转发给我的ALBs响应URL。这是Azure AD OAuth流终止
浏览 10提问于2021-08-10得票数 0
1回答
如何使用ALB/Cognito/OIDC IdProvider在auth后获取时间凭据?
amazon-web-services、amazon-cognito、openid-connect
我已经建立了与OIDC身份提供者(SalesForce)通过认知用户池连接的ALB内置身份验证,大致遵循。
通过这种设置,我的web应用程序(基于Java/Spring)接收由ALB转发的报头x-amzn-oidc-accesstoken、x-amzn-oidc-identity和x-amzn-oidc-data。
我可以解析和验证这些标头中包含的JWT令牌,例如,从其中获取用户的电子邮件。
现在,我的目标是让这个经过身份验证的用户通过AWS JavaScript SDK直接从客户端访问某些AWS资源或服务。例如,我希望用户能够在S3桶上列出对象或调用某些lambda函数。
我的理解是,我需要
浏览 0提问于2019-07-09得票数 6
1回答
如何为aws私有api网关启用SAML身份验证
amazon-web-services、saml
体系结构:严格无服务器云- AWS
我在私有api网关前面有一个应用程序负载均衡器(内部),其要求是使用企业SAML IdP保护负载均衡器端点。允许使用Lambdas、S3,但53号公路、EC2号公路不能在此帐户上使用。
这里的问题是,在SAML身份验证之后,中继状态(最终目标)是什么?由于内部ALB和私有api网关端点在AWS之外是不可见的,我不知道如何在用户通过企业IdP进行身份验证后降落在alb端点上?
很多三叶草!
浏览 6提问于2019-11-15得票数 0
回答已采纳
1回答
是否有一种通过OIDC代码授权流传递状态的方法?
keycloak、openid-connect、session-state、pkce
我运行一个多租户单页应用程序(SPA),我正在为它实现一个前端后端(BFF)。BFF处理OIDC登录/注销流,在会话中存储令牌,并将请求代理到后端服务器w/附加到每个请求的令牌。
我用钥匙斗篷作为身份提供者。BFF是一个使用快速和快速会话的node.js应用程序.后者将用户的会话id存储在cookie中。
在这个关于保护OIDC授权代码流中的的code_verifier中,Gary建议创建code_verifier服务器端。
现在,为了保持SPA的精益,我想创建code_verifier服务器端并处理身份提供者的重定向服务器端。我面临的问题是,我正在松散用户的会话上下文,因此无法检索code_
浏览 5提问于2022-10-18得票数 2
回答已采纳
1回答
调用/logout端点后,Keycloak不注销标识提供程序
spring-boot、oauth-2.0、keycloak、openid-connect、logout
我正在尝试使用Keycloak (13.0.1)作为身份代理。我有一个iOS应用程序,它使用keycloak通过OIDC身份提供程序登录,然后使用令牌访问spring引导后端。
我的问题是,我根本无法获得keycloak注销,也无法将用户从身份提供程序会话中注销。
我花了好几天在谷歌上搜索这个,查看堆栈溢出和密钥披风对话页面以及git,但是我没有找到我的具体问题的答案。
使用邮递员进行测试时,我第一次单击“获取新访问令牌”:
它成功地将我重定向到身份提供者登录页面(我使用keycloak提示绕过初始的keycloak登录页面)。再次按下按钮将跳过IDP登录并直接给我令牌。多方便啊,所
浏览 2提问于2021-07-08得票数 1
回答已采纳
2回答
使用第三方站点进行OAuth2 / OIDC授权代码流-了解最终步骤
oauth-2.0、openid-connect
我有一个网站,希望使用第三方服务登录(通过使用OAuth2和OIDC)。我理解90%的过程,但我没有得到我认为的最后一步。我会描述我在这里看到的步骤,也许有人能帮我填补空白。在我的设置中,资源服务器和授权服务器是同一台机器。
这是我所设想的登录过程。
用户来到我的站点(让我们称之为站点A)并单击登录
它们被重定向到身份验证站点(站点B),在那里输入用户名/密码。
假设有正确的凭据,然后使用auth代码将它们重定向回站点A。
Site接受这个auth代码,并在一个反向通道中再次与Site通信,请求将代码交换为一个令牌。
Site提供对站点A的访问令牌(而不是对最终用户,对服务
浏览 0提问于2019-01-16得票数 0
回答已采纳
1回答
Identity Server 4/ OpenID连接默认重定向URL
identityserver4
我将开始使用Identity Server 4(在ASP.NET核心下)使用隐式流来保护角2前端(到Web服务)。
使用,我可以成功地将样例的默认页面重定向到我的登录页面,让用户进行身份验证,然后重定向(通过/connect/connect)返回角度站点的回调。
如果用户直接浏览到我的身份验证登录页面(而不是角主页),那么我可以进行身份验证,但是没有地方可以重定向。如果手动重定向到auth服务器的/connect/ reports页面,OIDC客户端将报告“存储中没有找到匹配状态”。(据推测,OIDC客户端正在本地保存某些内容,以根据原始请求验证响应?)。
一个明显的解决方案是Auth服务器重
浏览 3提问于2017-05-18得票数 1
回答已采纳
2回答
OAuth2:退出后没有登录对话框,直接登录最后一个用户
flutter、dart、oauth-2.0
我正在构建一个颤音应用程序,需要用户对身份提供者进行身份验证,以便用户使用该应用程序。
我正在使用包进行身份验证。到目前为止,这一切都如出一辙:当单击“登录”按钮时,用户将被查询其凭据,在传递正确的凭据后,将得到一个有效的令牌。
当用户从身份提供者注销时,我只遇到了一个问题。当用户单击“登录”按钮时,他将自动登录,而无需查询当前用户凭据。
注销时,我从包中删除令牌,并在身份提供程序侧撤销令牌。
你知道这种行为的原因是什么吗?
浏览 1提问于2020-02-11得票数 0
回答已采纳
1回答
使用OAuth 2.0登录的正确的注销流是什么?
oauth、oauth-2.0、asp.net-identity、identity、logout
让我们假设存在一个身份服务器,用于登录和输出。然后有一个安卓应用程序,它使用OAuth 2.0通过IS4登录和输出。现在,当您登录时,您将单击android应用程序上的登录按钮,通过您的web浏览器将其重定向到您登录的身份服务器,然后您将被重定向回应用程序。让我们也假设所有这些都能工作,并且在整个过程结束时得到一个访问令牌。
我遇到的问题是,你的行为应该是什么?现在我明白了,在android应用程序中,您可以简单地清除访问令牌和刷新令牌,用户在应用程序中的任何地方都没有访问权限。但是,在浏览器上,您仍在登录。所以这就是我迷路的地方。
要完全注销,我现在必须将用户重定向到web浏览器来登录,因此
浏览 0提问于2019-02-18得票数 1
1回答
Onelogin从.NetCore 2.2MVC webapp应用程序中退出。
我使用onelogin对用户进行身份验证,并在dotnetcore2.2中登录到系统。对于onelogin,我使用OAuth进行身份验证。用户可以成功登录,但无法从应用程序中注销,因为onelogin没有提供适当的文档。
我所做的是成功地撤销该令牌,然后使用HttpContext.SignoutAsync()从webapp中注销。但这不管用。
任何人对上述问题都有解决办法。
提前谢谢。
var options = new OAuthOptions
{
Authorizatio
浏览 0提问于2019-07-31得票数 0
回答已采纳
1回答
移动应用程序和web服务器如何通信如果在两者之间添加AWS认知
authentication、single-sign-on、amazon-cognito、mobile-application
我的移动应用程序目前使用以下步骤执行SSO
用户将从移动应用程序的列表中选择一个IDP,然后单击Login
移动应用程序将在应用程序中安装浏览器控件并导航到SSO URL
如果还没有通过身份验证的话,IDP将挑战用户的身份验证。
用户将收到登录表单,以输入其凭据。
一旦IDP成功地对用户进行了身份验证,SAML断言将被传递给Web Server。
Web Server信任IDP,接受SML令牌并生成会话令牌。
移动浏览器组件接受会话令牌并与本机移动应用程序共享它。
移动应用程序使用此会话令牌调用web server App
由于安全原因,现在不建议将会话
浏览 3提问于2020-04-07得票数 0
回答已采纳
1回答
试图连接到IdentityServer4登录页失败
oauth-2.0、identityserver4、openid-connect
我有一个现有的网站,我想用OAuth2 / OIDC做一个概念的证明。为此,我配置了一个本地运行的IdentityServer4 MVC应用程序,作为我的演示OIDC服务器,遵循IdentityServer4快速设置准则。这很好,并导航到:
http://localhost:5000/.well-known/openid-configuration
让我看看发现文档。
我在这个OIDC应用程序上创建了一个假登录页面,它只包含一个登录按钮,不需要任何用户凭据。
没有实际的用户数据库,我只是在编写一些用户详细信息,以便在“身份验证”发生时返回。
在我先前存在的网站中,我添加了自己的中装,并正在使用
浏览 1提问于2019-01-29得票数 2
回答已采纳
1回答
是否可以强制外部IdP与B2C联合签署?
azure-ad-b2c、azure-ad-b2c-custom-policy、azure-b2c
在Microsoft文档中:
当您想要将用户从应用程序中签出时,只清除应用程序的cookie或以其他方式结束与用户的会话是不够的。您必须将用户重定向到Azure AD B2C才能注册。否则,用户可能可以重新对应用程序进行身份验证,而无需再次输入他们的凭据。
应登录请求,Azure AD B2C:
使基于Azure AD B2C cookie的会话无效。**试图从联邦身份提供者那里签名。
登录可以清除用户使用Azure AD B2C的单一登录状态,但它可能不会让用户退出其社交身份提供程序会话。如果用户在随后的登录期间选择相同的身份提供程序,则他们可能不输入凭据就重新身份验证。如果用户想退出应用程
浏览 2提问于2022-09-09得票数 0
1回答
自定义OAuth2授权服务器/身份提供程序
authentication、oauth、authorization、oauth2
目前,我正试图按照OAuth2协议PKCE流实现我自己的授权服务器,再加上我自己的身份提供者。其想法是能够在多个SPA中重用相同的身份提供者。为了得到更清晰的画面,我决定画一个UML序列图。此图详细说明了授权过程中涉及的不同步骤,也包括身份验证。
OAuth2-PKCE-流程-序列图
在场景的背后,我的想法也是实现我自己的身份提供者(IdP)来验证用户。我仍然想分享一些关于身份验证和会话管理服务器端的信息。我使用的是基于JWT令牌的身份验证系统,意思是无状态的。但是,我希望能够强烈地注销用户。为此,我将使用我的授权服务器将存储在Redis“会话存储”DB中的刷新令牌。后者是有状态的。关于身份验
浏览 0提问于2020-04-27得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
