注销IdentityServer与删除身份cookie一样简单,但为了完成联合注销,我们必须考虑将用户从客户端应用程序(甚至可能是上游身份提供程序)中注销。
删除身份Cookie
要删除身证cookie,只需在HttpContext
的扩展方法SignOutAsync
即可。你需要传递一个值IdentityServerConstants.DefaultCookieAuthenticationScheme
,如果你修改了他,那么使用你自定义的值。
await HttpContext.SignOutAsync(IdentityServerConstants.DefaultCookieAuthenticationScheme);
或者
await HttpContext.SignOutAsync();
通常,您应该提示用户注销(意思是需要POST方式提交注销请求),否则攻击者可能会热链接到您的注销页面(GET方式),导致用户被自动注销。
通知客户端已被注销的用户信息
作为注销过程的一部分,您需要确保向客户端应用程序通知用户已注销。IdentityServer支持服务器端的客户端(MVC Client)的前端通信规范,服务器端的客户端(MVC Client)的后端通信规范,以及基于浏览器的JavaScript客户端(例如SPA,React,Angular等)的会话管理规范。
前端通信
要通过前端通信规范从服务器端的客户端应用程序注销用户,IdentityServer中的“注销”页面必须呈现<iframe>
以通知客户端用户已注销。希望被通知的客户端必须设置FrontChannelLogoutUri
的值。IdentityServer跟踪用户登录的客户端,并在IIdentityServerInteractionService
(详情)上提供名为GetLogoutContextAsync
的API。该API返回一个带有SignOutIFrameUrl
属性的LogoutRequest
对象,所以你注销的页面必须呈现为<iframe>
。
后端通信
通过后端通信来注销用户,IdentityServer中的SignOutIFrameUrl
端点将自动触发服务器到服务器的调用,将签名注销请求传递给客户端。这意味着即使没有前端客户端,IdentityServer中的“注销”页面仍然必须呈现一个<iframe>到SignOutFrameUrl
,希望收到通知的客户端必须设置BackChannelLogoutUri
配置值
基于浏览器的JavaScript客户端
鉴于会话管理规范是如何设计的,IdentityServer中没有什么特别的,您需要通知这些客户端用户已经退出。 但是,客户端必须对check_session_iframe
执行监视,并且这由oidc-client JavaScript库实现。
由客户端应用程序发起的注销
如果注销是由客户端应用程序启动的,则客户端首先将用户重定向到最终会话端点。 在会话结束端点进行处理可能需要通过重定向到注销页面来维护一些临时状态(例如,客户端的注销,注销重定向uri)。 该状态可能对注销页面有用,并且状态的标识符通过logoutId参数传递到注销页面。
交互服务上的GetLogoutContextAsync
API可用于加载状态。感兴趣的是ShowSignoutPrompt
,它指示注销请求是否已通过身份验证,因此不会提示用户注销。
默认情况下,此状态作为通过logoutId
值传递的受保护数据结构进行管理。 如果您希望在会话终端和注销页面之间使用其他持久性,则可以实现IMessageStore <LogoutMessage>
并在DI中注册实现。