OIDC 注销

QWen Max 中英对照 OIDC Logout

一旦终端用户能够登录到您的应用程序，考虑他们如何登出就变得很重要了。

一般来说，有三种用例需要您考虑：

1. 我只想执行本地登出

2. 我想从我的应用程序和 OIDC 提供程序同时登出，由我的应用程序发起

3. 我想从我的应用程序和 OIDC 提供程序同时登出，由 OIDC 提供程序发起

本地注销

要执行本地注销，不需要特殊的OIDC配置。Spring Security 会自动设置一个本地注销端点，你可以通过 logout() DSL进行配置。

OpenID Connect 1.0 客户端发起的注销

OpenID Connect 会话管理 1.0 允许使用 Client 在 Provider 处注销最终用户。可用的策略之一是 RP 发起的注销。

如果 OpenID 提供者同时支持会话管理和发现，客户端可以从 OpenID 提供者的发现元数据中获取 end_session_endpoint URL。您可以通过使用 issuer-uri 配置 ClientRegistration 来实现这一点，如下所示：

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: okta-client-id
            client-secret: okta-client-secret
            ...
        provider:
          okta:
            issuer-uri: https://dev-1234.oktapreview.com

yaml

另外，你应该配置 OidcClientInitiatedServerLogoutSuccessHandler，它实现了 RP-Initiated Logout，如下所示：

Java

@Configuration
@EnableWebFluxSecurity
public class OAuth2LoginSecurityConfig {

    @Autowired
    private ReactiveClientRegistrationRepository clientRegistrationRepository;

    @Bean
    public SecurityWebFilterChain filterChain(ServerHttpSecurity http) throws Exception {
        http
            .authorizeExchange((authorize) -> authorize
                .anyExchange().authenticated()
            )
            .oauth2Login(withDefaults())
            .logout((logout) -> logout
                .logoutSuccessHandler(oidcLogoutSuccessHandler())
            );
        return http.build();
    }

    private ServerLogoutSuccessHandler oidcLogoutSuccessHandler() {
        OidcClientInitiatedServerLogoutSuccessHandler oidcLogoutSuccessHandler =
                new OidcClientInitiatedServerLogoutSuccessHandler(this.clientRegistrationRepository);

        // Sets the location that the End-User's User Agent will be redirected to
        // after the logout has been performed at the Provider
        oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}");

        return oidcLogoutSuccessHandler;
    }
}

java

Kotlin

@Configuration
@EnableWebFluxSecurity
class OAuth2LoginSecurityConfig {
    @Autowired
    private lateinit var clientRegistrationRepository: ReactiveClientRegistrationRepository

    @Bean
    open fun filterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
        http {
            authorizeExchange {
                authorize(anyExchange, authenticated)
            }
            oauth2Login { }
            logout {
                logoutSuccessHandler = oidcLogoutSuccessHandler()
            }
        }
        return http.build()
    }

    private fun oidcLogoutSuccessHandler(): ServerLogoutSuccessHandler {
        val oidcLogoutSuccessHandler = OidcClientInitiatedServerLogoutSuccessHandler(clientRegistrationRepository)

        // Sets the location that the End-User's User Agent will be redirected to
        // after the logout has been performed at the Provider
        oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}")
        return oidcLogoutSuccessHandler
    }
}

kotlin

备注

OidcClientInitiatedServerLogoutSuccessHandler 支持 {baseUrl} 占位符。如果使用，应用程序的基 URL（例如 [app.example.org](https://app.example.org)）将在请求时替换它。

OpenID Connect 1.0 后通道登出

OpenID Connect 会话管理 1.0 允许通过让提供商向客户端发起 API 调用来注销终端用户。这被称为 OIDC 后通道登出。

要启用此功能，您可以在DSL中设置Back-Channel Logout端点，如下所示：

Java

@Bean
OidcBackChannelServerLogoutHandler oidcLogoutHandler() {
    return new OidcBackChannelServerLogoutHandler();
}

@Bean
public SecurityWebFilterChain filterChain(ServerHttpSecurity http) throws Exception {
    http
        .authorizeExchange((authorize) -> authorize
            .anyExchange().authenticated()
        )
        .oauth2Login(withDefaults())
        .oidcLogout((logout) -> logout
            .backChannel(Customizer.withDefaults())
        );
    return http.build();
}

java

Kotlin

@Bean
fun oidcLogoutHandler(): OidcBackChannelLogoutHandler {
    return OidcBackChannelLogoutHandler()
}

@Bean
open fun filterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    http {
        authorizeExchange {
            authorize(anyExchange, authenticated)
        }
        oauth2Login { }
        oidcLogout {
            backChannel { }
        }
    }
    return http.build()
}

kotlin

就这样！

这将启动端点 /logout/connect/back-channel/{registrationId}，OIDC 提供者可以通过该端点请求使应用程序中特定最终用户的会话失效。

备注

oidcLogout 要求也配置 oauth2Login。

备注

oidcLogout 要求会话 cookie 被命名为 JSESSIONID，以便通过后通道正确注销每个会话。

Back-Channel Logout 架构

考虑一个标识符为 registrationId 的 ClientRegistration。

整体的Back-Channel注销流程如下：

1. 在登录时，Spring Security 会在其 ReactiveOidcSessionRegistry 实现中将 ID 令牌、CSRF 令牌和 Provider 会话 ID（如果有）与应用程序的会话 ID 关联起来。

2. 然后在注销时，你的 OIDC 提供商会向 /logout/connect/back-channel/registrationId 发起一个 API 调用，其中包含一个 Logout 令牌，该令牌指示要注销的 sub（最终用户）或 sid（Provider 会话 ID）。

3. Spring Security 会验证令牌的签名和声明。

4. 如果令牌包含 sid 声明，则只有与该提供商会话关联的客户端会话会被终止。

5. 否则，如果令牌包含 sub 声明，则该最终用户的该客户端的所有会话都将被终止。

备注

请记住，Spring Security 的 OIDC 支持是多租户的。这意味着它只会终止那些 Client 与 Logout Token 中的 aud 声明相匹配的会话。

自定义会话登出端点

发布了 OidcBackChannelServerLogoutHandler 后，会话注销端点为 {baseUrl}/logout/connect/back-channel/{registrationId}。

如果 OidcBackChannelServerLogoutHandler 未连接，则 URL 为 {baseUrl}/logout/connect/back-channel/{registrationId}，这不推荐，因为它需要传递一个 CSRF 令牌，这根据应用程序使用的存储库类型可能会具有挑战性。

如果您需要自定义端点，可以按如下方式提供 URL：

Java

http
    // ...
    .oidcLogout((oidc) -> oidc
        .backChannel((backChannel) -> backChannel
            .logoutUri("http://localhost:9000/logout/connect/back-channel/+{registrationId}+")
        )
    );

Kotlin

http {
    oidcLogout {
        backChannel {
            logoutUri = "http://localhost:9000/logout/connect/back-channel/+{registrationId}+"
        }
    }
}

自定义会话登出 Cookie 名称

默认情况下，会话注销端点使用 JSESSIONID cookie 来关联会话到相应的 OidcSessionInformation。

然而，Spring Session 中默认的cookie名称是 SESSION。

您可以在DSL中配置Spring Session的cookie名称，如下所示：

Java

@Bean
OidcBackChannelServerLogoutHandler oidcLogoutHandler(ReactiveOidcSessionRegistry sessionRegistry) {
    OidcBackChannelServerLogoutHandler logoutHandler = new OidcBackChannelServerLogoutHandler(sessionRegistry);
    logoutHandler.setSessionCookieName("SESSION");
    return logoutHandler;
}

Kotlin

@Bean
open fun oidcLogoutHandler(val sessionRegistry: ReactiveOidcSessionRegistry): OidcBackChannelServerLogoutHandler {
    val logoutHandler = OidcBackChannelServerLogoutHandler(sessionRegistry)
    logoutHandler.setSessionCookieName("SESSION")
    return logoutHandler
}

自定义 OIDC 提供程序会话注册表

默认情况下，Spring Security 会在内存中存储 OIDC 提供商会话与客户端会话之间的所有链接。

在某些情况下，比如集群应用程序中，最好将这些信息存储在其他位置，比如数据库中。

你可以通过配置一个自定义的 ReactiveOidcSessionRegistry 来实现这一点，如下所示：

Java

@Component
public final class MySpringDataOidcSessionRegistry implements ReactiveOidcSessionRegistry {
    private final OidcProviderSessionRepository sessions;

    // ...

    @Override
    public Mono<void> saveSessionInformation(OidcSessionInformation info) {
        return this.sessions.save(info);
    }

    @Override
    public Mono<OidcSessionInformation> removeSessionInformation(String clientSessionId) {
       return this.sessions.removeByClientSessionId(clientSessionId);
    }

    @Override
    public Flux<OidcSessionInformation> removeSessionInformation(OidcLogoutToken token) {
        return token.getSessionId() != null ?
            this.sessions.removeBySessionIdAndIssuerAndAudience(...) :
            this.sessions.removeBySubjectAndIssuerAndAudience(...);
    }
}

java

Kotlin

@Component
class MySpringDataOidcSessionRegistry: ReactiveOidcSessionRegistry {
    val sessions: OidcProviderSessionRepository

    // ...

    @Override
    fun saveSessionInformation(info: OidcSessionInformation): Mono<Void> {
        return this.sessions.save(info)
    }

    @Override
    fun removeSessionInformation(clientSessionId: String): Mono<OidcSessionInformation> {
       return this.sessions.removeByClientSessionId(clientSessionId);
    }

    @Override
    fun removeSessionInformation(token: OidcLogoutToken): Flux<OidcSessionInformation> {
        return token.getSessionId() != null ?
            this.sessions.removeBySessionIdAndIssuerAndAudience(...) :
            this.sessions.removeBySubjectAndIssuerAndAudience(...);
    }
}

kotlin