如何从不同用户的会话从外部触发用户(完全)注销?
例如 - “管理员”登录并注销用户“JohnDoe”(来自 IdentityServer 和所有客户端)。
IdentityServer 支持在用户注销时通知客户端(通过前或后通道)。这很好,但是如何从用户会话之外开始滚动呢?
【问题讨论】:
标签: identityserver4
令牌的问题是您无法删除令牌,您必须通过将其从商店中删除来撤销它,这样它就不能再使用了。实际上,使用反向通道注销您也有同样的问题。无法直接删除 cookie,但客户端可以在下一次请求时拒绝它。
通过用户会话,反向通道注销可以从 IdentityServer 网站上可用的 cookie 中读取会话信息。但是,管理员无权访问此信息,因此您需要在服务器端存储用户会话。
这可以在客户端或 IdentityServer 上。我会在客户端实现一个会话管理器,因为它是客户端验证 cookie 并可以删除 cookie(在下一个请求中)。
这允许 IdentityServer 执行正常的反向通道注销并将其留给客户端从LogoutCallback 上的会话管理器中删除一个或所有条目。这样您就可以针对不同的客户实施不同的策略。
客户端可以咨询会话管理器以验证 cookie 并在会话不可用时拒绝访问。比如:
public class CookieEventHandler : CookieAuthenticationEvents
{
private SessionManager _sessionManager { get; }
public CookieEventHandler(SessionManager sessionManager)
{
_sessionManager = sessionManager;
}
public override async Task ValidatePrincipal(CookieValidatePrincipalContext context)
{
if (context.Principal.Identity.IsAuthenticated)
{
var sub = context.Principal.FindFirst("sub")?.Value;
if (!_sessionManager.HasSession(sub))
{
context.RejectPrincipal();
await context.HttpContext.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme);
}
}
}
}
在启动中:
services
.AddAuthentication(options =>
{
options.DefaultScheme = "Cookies";
options.DefaultChallengeScheme = "oidc";
})
.AddCookie("Cookies", options =>
{
options.EventsType = typeof(CookieEventHandler);
})
【讨论】: