IdentityServer4【Topic】之登出

最新推荐文章于 2024-05-26 20:23:23 发布
最新推荐文章于 2024-05-26 20:23:23 发布
阅读量3k 收藏 1
点赞数
文章标签: 测试 javascript php ViewUI
原文链接:http://www.cnblogs.com/pangjianxin/p/9278812.html
版权

Sign-out 登出

IdentityServer的登出就像删除认证cookie一样简单,但是为了完成一个完整的联合签名,我们必须考虑将用户从客户端应用程序中(甚至可能是上游的Identity提供者)登出。

Removing the authentication cookie删除认证cookie

简单的调用HttpContext的SignOutAsync方法就能删除认证cookie,要使用该方法,你需要传递那个使用的认证方案(scheme,默认情况下是IdentityServerConstants.DefaultCookieAuthenticationScheme,除非你更改过它):

await HttpContext.SignOutAsync(IdentityServerConstants.DefaultCookieAuthenticationScheme);

或者你也可以使用IdentityServer提供的这个更为便利的扩展方法:

await HttpContext.SignOutAsync();

通常情况下,应该提示用户登出(意味着需要一个POST),否则攻击者可以将其链接到您的注销页面,从而导致用户自动注销。

Notifying clients that the user has signed-out通知客户端用户已经登出

作为signout这个整体动作的一部分,应该确保客户端应用程序也得到了用户登出的信息,对于有服务端的客户端,IdentityServer提供了对front-channel规范的支持;对于基于浏览器的javascript客户端(例如SPA、React、Angular等),IdentitySever提供了对 session management 规范的支持。

实际上,OIDC定义了三个规范来完成撤销认证这个动作:

  1. Session Management :可选。Session管理,用于规范OIDC服务如何管理Session信息。
  2. Front-Channel Logout:可选。基于前端的注销机制。
  3. Back-Channel Logout:可选。基于后端的注销机制。

其中Session Management是OIDC服务自身管理会话的机制;Back-Channel Logout则是定义在纯后端服务之间的一种注销机制,应用场景不多,这里也不详细解释了。这里重点关注一下Front-Channel Logout这个规范(http://openid.net/specs/openid-connect-frontchannel-1_0.html),它的使用最为广泛,其工作的具体的流程如下(结合Session Management规范):

(上图来自:https://www.cnblogs.com/linianhui/p/openid-connect-extension.html)

在上图中的2和3属于session management这个规范的一部。其中第2步中,odic的退出登录的地址是通过Discovery服务中返回的end_session_endpoint字段提供的RP的。其中还有一个check_session_iframe字段则是供纯前端的js应用来检查oidc的登录状态用的。

4567这四步则是属于front-channel logout规范的一部分,OIDC服务的支持情况在Discovery服务中也有对应的字段描述:

4567这一部分中重点有两个信息:

  1. RP退出登录的URL地址(这个在RP注册的时候会提供给OIDC服务);
  2. URL中的sessionid这个参数,这个参数一般是会包含在idtoken中给到OIDC客户端,或者在认证完成的时候以一个独立的sessionid的参数给到OIDC客户端,通常来讲都是会直接把它包含在IDToken中以防止被篡改。

Front-channel server-side clients 


在front-channel规范中,为了从带有服务端的client上登出用户,identityserver上面的登出页面必须渲染一个<iframe>来通知client客户已经登出。希望被通知的客户端必须设置了FrontChannelLogoutUri 这个配置。IdentityServer跟踪用户登入的那个客户端,并且在IIdentityServerInteractionService (查看详情)上面提供了一个GetLogoutContextAsync 的API,这个API返回一个LogoutRequest对象,它带有一个SignOutIFrameUrl属性,你的登出页面必须呈现为<iframe>(原文是:This API returns a LogoutRequest object with a SignOutIFrameUrl property that your logged out page must render into an <iframe>.我这个翻译很拗口,不知道翻译的对不对,请指正)

Back-channel server-side clients


要通过back-channel规范从服务器端客户端应用程序中签出用户,identityserver中的SignOutIFrameUrl端点将自动触发服务器到服务器的调用,将签名的签出请求传递给客户端。这意味着,即使没front-channel客户端,身份服务器中的“注销”页面仍然必须呈现如上所述的SignOutIFrameUrl。希望被通知的客户端必须有BackChannelLogoutUri配置值集。

Browser-based JavaScript clients

考虑到 session management 规范的设计方式,在identityserver中没有什么特别的东西,需要做的是通知这些客户已经登出。但是,客户端必须在check_session_iframe上执行监控,这是由oidc-client JavaScript library.实现的。

Sign-out initiated by a client application客户端应用发起的登出请求

如果一个登出请求是被客户端应用发起的,那么客户端首先会把用户重定向到end session endpoint。在处理从end session endpoint通过重定向到登出页面这件事可能需要保持一些临时的状态(state)(比如客户端登出的重定向uri)。这个状态或许对于登出页面是有用的,并且state的标志符( the identifier for the state)也通过一个logoutid的参数传递给了logout页面。

 interaction service 上面的GetLogoutContextAsync API可以用来加载这个state。返回的LogoutRequest对象上的ShowSignoutPrompt属性指示签出的请求是否已认证过,并且因此它不提示用户签出是安全的。

默认情况下这个state是通过logoutid的值作为一个被保护的数据结构来管理的,通过实现IMessageStore<LogoutMessage>并将其注册到DI,可以在end session endpoint和登出页面之间对这个值做一些持久化的工作。

 

转载于:https://www.cnblogs.com/pangjianxin/p/9278812.html

weixin_30622181
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端面试2023
admin12345671的博客
03-23 292
十五、promise的理解和async函数,如何实现多个网络请求成功之后,并拿到数据之后再执行其他的异步操作。四、computed的计算属性和watch监听的一个区别。二十六、适配,移动端各种机型的适配是怎么做的。二十一、小程序的双向数据绑定和vue的区别。七、vuex的核心属性怎么使用,怎么理解。六、Vnode是什么,是怎么渲染的?二十三、项目中遇到的问题和解决思路。九、用户登录的权限是怎么操作的?十、vue的传值,组件之间的传值。二十、小程序的支付是如何实现的。二十四、性能优化是怎么实现的。
Kafka源码系列教程之删除topic
08-27
主要给大家介绍了关于Kafka源码系列教程之删除topic的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
第59章 IdentityServer交互服务 - Identity Server 4 中文文档(v1.0.0)
dibopang0571的博客
04-28 475
IIdentityServerInteractionService接口旨在提供用户界面用于与IdentityServer通信的服务,主要与用户交互有关。它可以从依赖注入系统获得,通常作为构造函数参数注入到IdentityServer的用户界面的MVC控制器中。 59.1 IIdentityServerInteractionService APIs GetAuthorizationCon...
ASP.NET Core分布式项目实战(oauth2 + oidc 实现 server部分)--学习笔记
dotNET跨平台
05-11 707
任务15:oauth2 + oidc 实现 server部分基于之前快速入门的项目(MvcCookieAuthSample):ASP.NET Core快速入门(第5章:认证与授权)--学...
使用cookie来做身份认证
weixin_30364325的博客
08-28 375
文章是msdn的官方文档,链接在这里。其实也有中文的文档,这里还是想做一个记录。 文章有asp.net core 2.x 和1.x 版本,我这里就忽略1.x了。 下面先说几点额外的东西有助于理解。 Authentication 和 Authorization 这里先讲一下Authentication和Authorization两个词的区别。 Authentication:认证。 Authoriza...
ASP.NET Core 使用Cookie验证身份
dotNET跨平台
08-26 1093
ASP.NET Core 1.x提供了通过Cookie 中间件将用户主体序列化为一个加密的Cookie,然后在后续请求中验证Cookie并重新创建主体,并将其分配给HttpContext.User属性。如果您要提供自己的登录界面和用户数据库,可以使用作为独立功能的Cookie中间件。 ASP.NET Core 2.x的一个主要变化是不再存在Cookie中间件。取而代之的是在Startup.cs文
IdentityServer4 退出登录+EF
极客神殿
11-02 631
登录讲完了 我们讲一下退出登录 退出比较简单啦 [HttpGet] public async Task<IActionResult> Logout(string logoutId) { var logout = await _interaction.GetLogoutContextAsync(logoutId); await HttpContext.SignOutAsync(); //获取客
java session logout_为什么Identity Server4 Logout不起作用? (没有MS身份)
weixin_39548606的博客
02-16 201
我正在尝试使用IdentityServer4实现我自己的OAuth服务器,到目前为止除了注销外一切正常 .我没有使用Microsoft Identity,因为我已经拥有一个WebApi的WebApp,它正在处理与用户相关的CRUD操作 . 因此,我使用现有数据库来获取用户并验证其用户名和PW . 如果验证成功,我的验证方法将返回"AuthenticatedUser"类型的对象(这是我制作的Util...
ASP.NET Core3.1使用IdentityServer4实现授权登录(一)
weixin_42862139的博客
07-23 784
搭建认证服务器 1、创建ASP.NET Core Web应用程序,选择空模板 去掉HTTPS 2、添加nuget包:IdentityServer4 右键依赖项,选择管理nuget程序包,搜索IdentityServer4,选择版本,安装,过程中有弹窗选择安装、我接受 3、添加Config.cs文件作为IdentityServer配置文件,用于定义IdentityServer资源和客户端等。 在项目上右键->添加->类 4.修改Config,添加IdentityServer配置文件 5、s
IdentityServer4 单点登录SingleSignOn
极客神殿
07-04 1054
四种授权模式 Implicit:简化模式;直接通过浏览器的链接跳转申请令牌。 Client Credentials:客户端凭证模式;服务接口授权用这种,需要客户端id和key就可以拿到授权,访问服务端api时用,后端调用被保护的api (A)客户端向认证服务器进行身份认证,并要求一个访问令牌。 (B)认证服务器确认无误后,向客户端提供访问令牌。 Resource Owner Password Credentials:密码模式,在客户端凭证模式基础上加用户名密码 (A)用户向客户端提供用户名和密码。 (B)
一步一步学习IdentityServer4 (6) Connect-OpenId Cookies SignIn SignOut 那些事
weixin_30795127的博客
12-21 200
先来看下下面的配置: JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear(); services.AddAuthentication( options => { options.Def...
ROS的学习之路[4]
01-06
今天的标题还没想好一.Node、Topic 一.Node、Topic 在这篇教程中引导创建了4个终端,分别如下: 1.roscore 是节点和程序的集合,它们是基于ROS的系统的先决条件。必须运行roscore才能使ROS节点进行通信。 2.rosrun ...
TopicModel4J:TopicModel4J
05-11
TopicModel4J:用于主题模型的Java包[J]。 arXiv预印本arXiv:2010.14707,2020。 该软件包是关于自然语言处理(NLP)的主题模型的。 它为研究人员和数据分析师提供了易于使用的界面。 动机:我开发此Java软件包来...
kafka监控获取指定topic的消息总量示例
09-18
今天小编就为大家分享一篇kafka监控获取指定topic的消息总量示例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
topic2.docx
06-08
英语topic新视野3,4.已经完全写好大部分课后问题,3个口试topic模板
第7章 初识SqlSugarCore之Jwt认证中间件
zhoujian_911的专栏
10-11 463
通过的Jwt认证中间件生成令牌(Token)的操作有两大部部分组成: 1、 定义在Program.cs中的依赖注入配置。 2、 用于令牌(Token)生成的自定义方法。 Jwt认证中间件通过3个参数成员或属性成员及其相对应的值来保证依赖注入配置和自定义方法所生成的于令牌(Token)是同1指定于令牌(Token),它们分别是: (自定义方法参数)secretKey --(依赖注入配置)IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetB
基于IdentityServer4的OIDC实现单点登录(SSO)原理简析
dotNET跨平台
08-24 1876
# 写在前面IdentityServer4的学习断断续续,兜兜转转,走了不少弯路,也花了不少时间。可能是因为没有阅读源码,也没有特别系统的学习资料,相关文章很多园子里的大佬都有涉及,...
ASP.NET CORE中使用Cookie身份认证
01-24 215
大家在使用ASP.NET的时候一定都用过FormsAuthentication做登录用户的身份认证,FormsAuthentication的核心就是Cookie,ASP.NET会将用户名存储在Cookie中。 现在到了ASP.NET CORE的时代,但是ASP.NET CORE中没有FormsAuthentication这个东西,那么怎么做身份认证呢?答案是ASP.NET CORE已经...
Pytest对协程异步函数进行单元测试
最新发布
hjc_042043的博客
05-26 227
这是简单的pytest 测试协程异步的教程,主要是用来测试同步请求,aiohttp的session复用,不复用的请求性能比较,完整的测试源码已经放在 码云上 ,欢迎大家多提意见和建议
@Slf4j(topic
08-27
@Slf4j(topic = "enjoy")是一个注解,用于在代码中引入Slf4j日志框架。它的作用是设置构建Logger的类别,默认情况下,它将使用注解所在的类型作为类别。在这个代码段中,使用了@Slf4j(topic = "enjoy")来创建一个Logger对象,并设置了类别为"enjoy"。这样,在代码中就可以使用log.debug()等方法来打印日志信息了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [easemob-kafka](https://download.csdn.net/download/weixin_42139357/19326271)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [lombok.extern.slf4j @Slf4j topic的使用](https://blog.csdn.net/naioonai/article/details/105099144)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Synchronized关键字](https://blog.csdn.net/wlchina123/article/details/109709192)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值