Azure AD B2C:注销社交帐户(使用 OIDC 的 Azure AD)

【问题标题】:Azure AD B2C : Log out of social account (Azure AD using OIDC)Azure AD B2C:注销社交帐户(使用 OIDC 的 Azure AD)
【发布时间】:2021-09-18 22:27:57
【问题描述】:

我有一个使用 B2C 的应用程序让用户使用本地帐户或 Azure AD 帐户登录。 在注销期间,本地会话被完全清除,但 AD 会话仍然存在。

我知道这是 B2C 设计的,它不会完全清除社交帐户。

但是,如果我使用 Azure AD 帐户登录我的 b2c 应用程序,然后尝试注销,则使用新浏览器(所有 cookie 和缓存已清除)。它是否还不能完全清除会话? 鉴于我尚未登录任何其他 AD 应用程序。

如果用户使用 AD 帐户登录公共计算机,这似乎存在安全风险。 怎样才能完全退出 AD 用户?我可以接受其他社交活动的结束。

【问题讨论】:

    标签: azure azure-active-directory azure-ad-b2c openid-connect azure-ad-b2c-custom-policy


    【解决方案1】:

    与 Microsoft 确认无法完全清除来自 b2c 应用程序的外部 AD 登录的登录会话。这是因为 AD 登录(社交)会在浏览器的 login.microsoftonline.com 域下创建一个持久 cookie。此 cookie 无法被 b2c 清除,因为它在不同的域下。

    要清除持久性 cookie,您必须调用 login.microsoftonline.com 的注销端点:https://login.microsoftonline.com/common/oauth2/logout

    在 b2c 应用程序中,注销方法如下所示:

     public ActionResult Logout()
    {
        if (Request.IsAuthenticated)
        {
            MsalAppBuilder.ClearUserTokenCache();
            IEnumerable<AuthenticationDescription> authTypes = HttpContext.GetOwinContext().Authentication.GetAuthenticationTypes();
            HttpContext.GetOwinContext().Authentication.SignOut(authTypes.Select(t => t.AuthenticationType).ToArray());
            Request.GetOwinContext().Authentication.GetAuthenticationTypes();
        }
        HttpContext.Response.Redirect("https://login.microsoftonline.com/common/oauth2/logout");
    
    }

    这清除了 b2c 会话 cookie 以及 AD 登录 cookie,从而正确结束会话

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2019-02-13
      • 1970-01-01
      • 2020-11-27
      • 2021-02-17
      • 2018-01-12
      • 2021-03-07
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode