我有一个 MVC 5 Web 应用程序,它设置了 facebook 身份验证并且运行良好。用户在登录页面上单击“Facebook”,登录 Facebook 并通过我们的网站进行身份验证。如果用户退出,对 AuthenticationManager.SignOut() 的调用会正确退出网站,但如果用户随后返回登录页面并再次单击“Facebook”,他们会立即登录,而无需登录脸书。
所以我的问题是,我如何配置 MVC 5 OWIN facebook 登录,以便用户在退出网站时退出 facebook,或者换句话说,防止缓存下一次的身份验证登录。我不希望用户 facebook 登录被静默缓存,以防他们与其他用户共享浏览器。
【问题讨论】:
标签: asp.net-mvc facebook-login owin
我知道这样做的唯一方法是将事件绑定到您的注销按钮或链接,并使用Facebook Javascript SDK 实际为您执行 Facebook 注销。
<a href="/Account/Logout" id="Logout">LogOut</a>
<script type="text/javascript">
$(function(){
$("#Logout").on("click", function(e){
if(confirm("This will also log you out of Facebook. Proceed?")){
FB.logout(function(response) {
// Person is now logged out
});
}else{
//do not allow the link to continue and sign our of your site.
//This is optional and allows you to provide options
e.PreventDefault();
}
});
});
</script>
您实际上可以使用确认对话框来询问他们是否也想退出 Facebook。确认表示是,不确认表示否,只需将我从您的网站上注销即可。同样,使用 SDK 和一些控制逻辑应该可以提供您需要的结果。
【讨论】:
你不能。这样做需要能够访问 facebook.com 设置的 cookie,出于安全原因,这是明确禁止的:您只能访问自己域中的 cookie。使用 Facebook 登录与您的应用程序是分开的。用户并未真正登录您的网站。他们正在登录 Facebook,而 Facebook 只是在您的网站上验证用户身份。如果您真的担心,您可以在您的退出页面上添加一条消息,提醒他们也退出 Facebook。
您可以尝试重新创建 Facebook 的注销代码(使用他们发送的相同数据发布他们使用的相同操作)。但是,我几乎可以肯定他们会为此使用某种 CSRF 保护,所以它可能不会起作用。
【讨论】:
看到这个帖子,想补充一下,帮助大众。
在微软的指南“Code! MVC 5 App with Facebook, Twitter, LinkedIn and Google OAuth2 Sign-on”中,包含以下部分:
注销您的应用并使用其他帐户登录
如果您使用 Facebook 登录您的应用程序,然后退出并尝试使用不同的 Facebook 帐户(使用相同的浏览器)再次登录,您将立即登录到您之前使用的 Facebook 帐户。为了使用另一个帐户,您需要导航到 Facebook 并在 Facebook 上注销。相同的规则适用于任何其他 3rd 方身份验证提供程序。或者,您可以使用其他浏览器使用其他帐户登录。
所以这种行为是设计使然。
要了解有关 OWIN 的更多信息,请阅读以下内容:
有更多的链接可以分享,但是 drats,声誉还不够高。 :)
【讨论】:
已经两年了,如果使用OpenID Connect,那么存在解决方案
// POST: /Account/LogOff
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult LogOff()
{
Request.GetOwinContext().Authentication.SignOut();
return Redirect("/");
//AuthenticationManager.SignOut(DefaultAuthenticationTypes.ApplicationCookie);
//return RedirectToAction("Index", "Home");
}
【讨论】: