IdentityServer4 学习笔记-退出身份认证

Hali
353 阅读8分钟

一起养成写作习惯!这是我参与「掘金日新计划 · 4 月更文挑战」的第8天,点击查看活动详情

1.删除认证

注销IdentityServer就像删除身份验证cookie一样,但是为了完成联合注销,必须考虑将用户从客户端应用程序(甚至可能是上游身份提供者)中退出。

要删除身份验证cookie,需使用HttpContext扩展方法SignOutAsync就好了。需要传递使用的方案IdentityServerConstants.DefaultCookieAuthenticationScheme除非已更改

await HttpContext.SignOutAsync(IdentityServerConstants.DefaultCookieAuthenticationScheme);

或者可以使用IdentityServer提供的扩展方法:

await HttpContext.SignOutAsync();
2. 通知客户端用户已注销

作为退出流程的一部分,需要确保客户端应用程序被告知用户已退出。IdentityServer支持服务器端客户端的前端通道规范(例如MVC),服务器端客户端的反向通道 规范(例如MVC),以及基于浏览器的JavaScript客户端的会话管理规范(例如SPA,React,Angular)等)。

要通过前端通道规范从服务器端注销客户端应用程序用户,IdentityServer中的“已注销”页面必须呈现<iframe>以通知客户端用户已注销。希望收到通知的客户端必须设置FrontChannelLogoutUri配置值。IdentityServer跟踪用户已登录的客户端,并提供在IIdentityServerInteractionService上(详细信息调用GetLogoutContextAsync的API 。此API返回一个LogoutRequest对象,该对象具有SignOutIFrameUrl注销您的页面必须呈现为的<iframe>属性。

要通过反向通道规范从服务器端注销客户端应用程序用户,IdentityServer中的SignOutIFrameUrl端点将自动触发服务器到服务器调用,将签名的注销请求传递给客户端。这意味着即使如果没有前面通道的客户端中,“退出”,在IdentityServer页仍必须渲染<iframe>SignOutIFrameUrl如上所述。希望收到通知的客户端必须设置BackChannelLogoutUri配置值。

鉴于会话管理规范的设计方式,IdentityServer中没有什么特别的,您需要做的是通知这些客户端用户已注销。但是,客户端必须对check_session_iframe执行监视,这是由oidc-client JavaScript库实现的。

3.由客户端应用程序启动的注销

如果客户端应用程序启动了注销,则客户端首先将用户重定向到结束会话端点,在结束会话端点处的处理可能需要通过重定向到注销页面来维护一些临时状态(例如,客户端的注销后重定向uri)。此状态可能对注销页面有用,并且状态的标识符通过logoutId参数传递到注销页面。

GetLogoutContextAsync上的API交互服务,可以用来加载状态。感兴趣的ShowSignoutPromptShowSignoutPrompt指示注销请求是否已经过身份验证,因此不会提示用户注销是安全的。

默认情况下,此状态作为通过logoutId值传递的受保护数据结构进行管理。如果您希望在结束会话端点和注销页面之间使用其他一些持久性,那么您可以IMessageStore<LogoutMessage>在DI中实现并注册实现。

4.退出外部身份Provider

当用户注销IdentityServer并且他们使用外部身份提供程序登录时,可能会将其重定向到注销外部提供程序。并非所有外部提供商都支持注销,因为它取决于它们支持的协议和功能。

要检测是否必须将用户重定向到外部身份提供程序以进行注销通常是通过使用idp在IdentityServer中发布到cookie中的声明来完成的。设置到此声明中的值是AuthenticationScheme相应的身份验证中间件。在签出时,咨询此声明以了解是否需要外部签出。

由于正常注销工作流程已经需要清理和状态管理,因此将用户重定向到外部身份提供商是有问题的。然后,在IdentityServer完成正常注销和清理过程的唯一方法是从外部身份提供程序请求在注销后将用户重定向回IdentityServer。并非所有外部提供商都支持退出后重定向,因为它取决于它们支持的协议和功能。

然后,注销的工作流程将撤消IdentityServer的身份验证cookie,然后重定向到请求注销后重定向的外部提供程序。退出后重定向应保持此处描述的必要签出状态(即logoutId参数值)。要在外部提供程序注销后重定向回IdentityServer,RedirectUri应该AuthenticationProperties在使用ASP.NET Core的SignOutAsyncAPI 时使用,例如:

[HttpPost]
[ValidateAntiForgeryToken]
public async Task<IActionResult> Logout(LogoutInputModel model)
{
    var vm = await _account.BuildLoggedOutViewModelAsync(model.LogoutId);

    var user = HttpContext.User;
    if (user?.Identity.IsAuthenticated == true)
    {
        // delete local authentication cookie
        await HttpContext.SignOutAsync();

        await _events.RaiseAsync(new UserLogoutSuccessEvent(user.GetSubjectId(), user.GetName()));
    }

    if (vm.TriggerExternalSignout)
    {
        string url = Url.Action("Logout", new { logoutId = vm.LogoutId });
        return SignOut(new AuthenticationProperties { RedirectUri = url }, vm.ExternalAuthenticationScheme);
    }

    return View("LoggedOut", vm);
}

用户退出外部提供程序然后重定向回来,IdentityServer的正常注销处理应该执行,这涉及处理logoutId和执行清理。

5.联合注销和网关

注销

联合注销是指用户使用外部身份提供程序登录IdentityServer,然后用户通过IdentityServer未知的工作流程注销该外部身份提供程序的情况。当用户注销时,对IdentityServer进行通知,这样它就可以将用户从IdentityServer和使用IdentityServer的所有应用程序中退出。

不是所有外部身份提供商都支持联合注销,但那些提供的机制将提供通知客户端用户已注销的机制。此通知通常以<iframe>来自外部身份提供商的“已注销”页面的请求的形式出现。然后IdentityServer必须通知其所有客户,也通常在一个请求的<iframe>形式从内外部身份提供的<iframe>

使联合注销成为特殊情况(与正常注销相比)的原因是联合注销请求不是IdentityServer中的正常注销端点。实际上,每个外部IdentityProvider都将在IdentityServer主机中具有不同的端点。这是因为每个外部身份提供者可能使用不同的协议,并且每个中间件都在不同的端点上进行侦听。

所有这些因素的效果是没有像正常注销工作流那样呈现“注销”页面,这意味着我们缺少对IdentityServer客户端的注销通知。我们必须为每个联合注销端点添加代码,以呈现必要的通知以实现联合注销。

幸运的是,IdentityServer已包含此代码。当请求进入IdentityServer并调用外部身份验证提供程序的处理程序时,IdentityServer检测这些请求是否是联合注销请求,如果是联合注销请求,它将自动呈现与此处描述的注销相同的<iframe>。简而言之,自动支持联合注销。

联合网关

通用架构是所谓的联合网关。在此方法中,IdentityServer充当一个或多个外部身份提供商的网关。

该架构具有以下优点:

  • 应用程序只需要了解一个令牌服务(网关),并且屏蔽了有关连接到外部提供程序的所有详细信息。这也意味着您可以添加或更改这些外部提供程序,而无需更新您的应用程序。

  • 控制网关(而不是某些外部服务提供商) - 这意味着您可以对其进行任何更改,并保护您的应用程序免受外部提供程序可能对其自己的服务所做的更改。

  • 大多数外部提供商仅支持一组固定的声明和声明类型 - 中间有一个网关允许对提供商的响应进行后处理,以转换/添加/修改特定于域的身份信息。

  • 某些提供商不支持访问令牌(例如社交提供商) - 因为网关知道您的API,它可以根据外部身份发出访问令牌。

  • 某些提供商根据您连接的应用程序数量收费。网关充当外部提供程序的单个应用程序。在内部,您可以根据需要连接任意数量的应用程序。

  • 一些提供商使用专有协议或对标准协议进行专有修改 - 通过网关,您只需要处理一个地方。

  • 通过一个地方强制进行每次身份验证(内部或外部),可以为身份映射提供极大的灵活性,为所有应用程序提供稳定的身份并处理新的需求

  • 通过向IdentityServer应用程序添加身份验证处理程序来添加对外部身份提供程序的支持。

  • 通过调用程序查询这些外部供应商IAuthenticationSchemeProvider。这允许基于已注册的外部提供程序动态呈现您的登录页面。

  • 我们的客户端配置模型允许基于每个客户端限制可用的提供者(IdentityProviderRestrictions属性)。

  • 还可以使用EnableLocalLogin客户端上的属性告诉您的UI是否应该呈现用户名/密码输入。

avatar
文章
阅读
粉丝