注销IdentityServer与删除身份cookie一样简单,但是我们必须考虑将用户从客户端应用程序(甚至可能是上游身份提供程序)中注销。
一.删除身份认证Cookie
要删除身证认证cookie,只需在HttpContext
的扩展方法SignOutAsync
即可。你需要传递一个值IdentityServerConstants.DefaultCookieAuthenticationScheme
,如果你修改了他,那么使用你自定义的值。
await HttpContext.SignOutAsync(IdentityServerConstants.DefaultCookieAuthenticationScheme);
或者
await HttpContext.SignOutAsync();
通常,你应该提示用户注销(意思是需要POST方式提交注销请求),否则攻击者可能会热链接到你的注销页面(GET方式),导致用户被自动注销。
二.通知客户端已被注销的用户信息
作为注销过程的一部分,你需要确保向客户端通知用户已注销。IdentityServer支持服务器应用程序(MVC Client)的 front-channel 和 back-channel,以及基于浏览器的JavaScript客户端(例如SPA,React,Angular等)的session management。
Front-channel
要通过 Front-channel 从服务器端应用程序注销用户,IdentityServer中的“注销”页面必须呈现<iframe>
以通知客户端用户已注销。希望被通知的客户端必须设置 FrontChannelLogoutUri
的值。IdentityServer 跟踪用户登录的客户端,并在IIdentityServerInteractionService
上提供名为GetLogoutContextAsync
的API。该API返回一个带有SignOutIFrameUrl
属性的LogoutRequest
对象,所以你注销的页面必须呈现为<iframe>
。
Back-channel
通过 Back-channel 来注销用户,IdentityServer中的SignOutIFrameUrl
端点将自动触发Server到Server的调用,将签名注销请求传递给客户端。这意味着即使没有 Front-channel ,IdentityServer中的“注销”页面仍然必须呈现一个<iframe>到SignOutFrameUrl
,希望收到通知的客户端必须设置BackChannelLogoutUri
配置值
基于浏览器的JavaScript客户端
参考 session management 的设计规范,IdentityServer中没有什么特别的,您需要通知这些客户端用户已经退出。 但是,客户端必须对check_session_iframe
执行监视,并且这由 oidc-client JavaScript库实现。
三.由客户端应用程序发起的注销
如果注销是由客户端应用程序启动的,则客户端首先将用户重定向到最终会话端点。 在会话结束端点进行处理可能需要通过重定向到注销页面来维护一些临时状态(例如,客户端的注销,注销重定向uri)。 该状态可能对注销页面有用,并且状态的标识符通过logoutId参数传递到注销页面。
交互服务上的GetLogoutContextAsync
API可用于加载状态。感兴趣的是ShowSignoutPrompt
,它指示注销请求是否已通过身份验证,因此不会提示用户注销。
默认情况下,此状态作为通过logoutId
值传递的受保护数据结构进行管理。 如果你希望在会话终端和注销页面之间使用其他持久性,则可以实现IMessageStore <LogoutMessage>
并在DI中注册实现。