跳到主要内容
版本:7.0.2

OIDC 登出

DeepSeek V3 中英对照 OIDC Logout

一旦终端用户能够登录您的应用程序,考虑他们如何退出登录就变得至关重要。

一般来说,有三种使用场景供您考虑:

  1. 我只需要执行本地登出

  2. 我希望由我的应用程序发起,同时登出我的应用程序和 OIDC 提供者

  3. 我希望由 OIDC 提供者发起,同时登出我的应用程序和 OIDC 提供者

本地登出

要执行本地登出,无需特殊的 OIDC 配置。Spring Security 会自动启动一个本地登出端点,你可以通过 logout() DSL 进行配置。

OpenID Connect 1.0 客户端发起的注销

OpenID Connect Session Management 1.0 允许客户端(Client)在提供方(Provider)处注销终端用户。其中一种可用的策略是RP-Initiated Logout

如果 OpenID 提供者同时支持会话管理和发现,客户端可以从 OpenID 提供者的发现元数据中获取 end_session_endpoint URL。你可以通过使用 issuer-uri 配置 ClientRegistration 来实现,如下所示:

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: okta-client-id
            client-secret: okta-client-secret
            ...
        provider:
          okta:
            issuer-uri: https://dev-1234.oktapreview.com

此外,您应该配置 OidcClientInitiatedServerLogoutSuccessHandler(它实现了RP发起的注销功能),具体配置如下:

@Configuration
@EnableWebFluxSecurity
public class OAuth2LoginSecurityConfig {

	@Autowired
	private ReactiveClientRegistrationRepository clientRegistrationRepository;

	@Bean
	public SecurityWebFilterChain filterChain(ServerHttpSecurity http) throws Exception {
		http
			.authorizeExchange((authorize) -> authorize
				.anyExchange().authenticated()
			)
			.oauth2Login(withDefaults())
			.logout((logout) -> logout
				.logoutSuccessHandler(oidcLogoutSuccessHandler())
			);
		return http.build();
	}

	private ServerLogoutSuccessHandler oidcLogoutSuccessHandler() {
		OidcClientInitiatedServerLogoutSuccessHandler oidcLogoutSuccessHandler =
				new OidcClientInitiatedServerLogoutSuccessHandler(this.clientRegistrationRepository);

		// Sets the location that the End-User's User Agent will be redirected to
		// after the logout has been performed at the Provider
		oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}");

		return oidcLogoutSuccessHandler;
	}
}
备注

OidcClientInitiatedServerLogoutSuccessHandler 支持 {baseUrl} 占位符。如果使用该占位符,应用程序的基础 URL(例如 [app.example.org](https://app.example.org))将在请求时替换它。

备注

默认情况下,OidcClientInitiatedServerLogoutSuccessHandler 使用 GET 方法的 HTTP 标准重定向跳转到注销 URL。若要通过 POST 请求执行注销,请将重定向策略设置为 FormPostServerRedirectStrategy,例如使用 OidcClientInitiatedServerLogoutSuccessHandler.setRedirectStrategy(new ServerFormPostRedirectStrategy())

OpenID Connect 1.0 后端通道注销

OpenID Connect Session Management 1.0 允许通过提供者向客户端发起 API 调用来注销终端用户。这被称为 OIDC 后端通道注销

要实现这一点,你可以在DSL中像这样设置Back-Channel Logout端点:

@Bean
OidcBackChannelServerLogoutHandler oidcLogoutHandler() {
	return new OidcBackChannelServerLogoutHandler();
}

@Bean
public SecurityWebFilterChain filterChain(ServerHttpSecurity http) throws Exception {
    http
        .authorizeExchange((authorize) -> authorize
            .anyExchange().authenticated()
        )
        .oauth2Login(withDefaults())
        .oidcLogout((logout) -> logout
            .backChannel(Customizer.withDefaults())
        );
    return http.build();
}

就这样!

这将启动端点 /logout/connect/back-channel/{registrationId},OIDC 提供方可以通过该端点请求使终端用户在您应用程序中的指定会话失效。

备注

oidcLogout 要求同时配置 oauth2Login

备注

oidcLogout 要求会话 cookie 必须命名为 JSESSIONID,以便通过后端通道正确注销每个会话。

后通道登出架构

考虑一个标识符为 registrationIdClientRegistration

Back-Channel 注销的整体流程如下:

  1. 在登录时,Spring Security 会将其 ReactiveOidcSessionRegistry 实现中的 ID 令牌、CSRF 令牌和提供者会话 ID(如果有)与您应用程序的会话 ID 关联起来。

  2. 然后在注销时,您的 OIDC 提供者会向 /logout/connect/back-channel/registrationId 发起一个 API 调用,其中包含一个注销令牌,该令牌指示要注销的 sub(最终用户)或 sid(提供者会话 ID)。

  3. Spring Security 验证令牌的签名和声明。

  4. 如果令牌包含 sid 声明,则仅终止与该提供者会话关联的客户端会话。

  5. 否则,如果令牌包含 sub 声明,则终止该最终用户的所有客户端会话。

备注

请记住,Spring Security 的 OIDC 支持是多租户的。这意味着它只会终止那些客户端与注销令牌中 aud 声明匹配的会话。

自定义会话注销端点

随着OidcBackChannelServerLogoutHandler的发布,会话注销端点变更为{baseUrl}/logout/connect/back-channel/{registrationId}

如果未配置 OidcBackChannelServerLogoutHandler,则 URL 为 {baseUrl}/logout/connect/back-channel/{registrationId},这不推荐使用,因为它需要传递 CSRF 令牌,而根据应用程序使用的存储库类型,这可能具有挑战性。

如果你需要自定义端点,可以按如下方式提供 URL:

http
    // ...
    .oidcLogout((oidc) -> oidc
        .backChannel((backChannel) -> backChannel
            .logoutUri("http://localhost:9000/logout/connect/back-channel/+{registrationId}+")
        )
    );

自定义会话登出 Cookie 名称

默认情况下,会话注销端点使用 JSESSIONID cookie 来将会话与对应的 OidcSessionInformation 关联起来。

然而,Spring Session 中的默认 cookie 名称是 SESSION

你可以像这样在DSL中配置Spring Session的cookie名称:

@Bean
OidcBackChannelServerLogoutHandler oidcLogoutHandler(ReactiveOidcSessionRegistry sessionRegistry) {
    OidcBackChannelServerLogoutHandler logoutHandler = new OidcBackChannelServerLogoutHandler(sessionRegistry);
    logoutHandler.setSessionCookieName("SESSION");
    return logoutHandler;
}

自定义 OIDC 提供者会话注册表

默认情况下,Spring Security 会在内存中存储 OIDC 提供者会话与客户端会话之间的所有链接。

在某些情况下,比如集群应用,将数据存储在单独的位置(例如数据库)中会更为理想。

你可以通过配置一个自定义的 ReactiveOidcSessionRegistry 来实现这一点,如下所示:

@Component
public final class MySpringDataOidcSessionRegistry implements ReactiveOidcSessionRegistry {
    private final OidcProviderSessionRepository sessions;

    // ...

    @Override
    public Mono<void> saveSessionInformation(OidcSessionInformation info) {
        return this.sessions.save(info);
    }

    @Override
    public Mono<OidcSessionInformation> removeSessionInformation(String clientSessionId) {
       return this.sessions.removeByClientSessionId(clientSessionId);
    }

    @Override
    public Flux<OidcSessionInformation> removeSessionInformation(OidcLogoutToken token) {
        return token.getSessionId() != null ?
            this.sessions.removeBySessionIdAndIssuerAndAudience(...) :
            this.sessions.removeBySubjectAndIssuerAndAudience(...);
    }
}