跳到主要内容

OIDC 注销

QWen Max 中英对照 OIDC Logout

一旦终端用户能够登录到您的应用程序,考虑他们如何登出就变得很重要了。

一般来说,有三种用例需要您考虑:

  1. 我只想执行本地登出

  2. 我想从我的应用程序和 OIDC 提供程序同时登出,由我的应用程序发起

  3. 我想从我的应用程序和 OIDC 提供程序同时登出,由 OIDC 提供程序发起

本地注销

要执行本地注销,不需要特殊的OIDC配置。Spring Security 会自动设置一个本地注销端点,你可以通过 logout() DSL进行配置

OpenID Connect 1.0 客户端发起的注销

OpenID Connect 会话管理 1.0 允许使用 Client 在 Provider 处注销最终用户。可用的策略之一是 RP 发起的注销

如果 OpenID 提供者同时支持会话管理和发现,客户端可以从 OpenID 提供者的发现元数据中获取 end_session_endpoint URL。您可以通过使用 issuer-uri 配置 ClientRegistration 来实现这一点,如下所示:

spring:
security:
oauth2:
client:
registration:
okta:
client-id: okta-client-id
client-secret: okta-client-secret
...
provider:
okta:
issuer-uri: https://dev-1234.oktapreview.com
yaml

另外,你应该配置 OidcClientInitiatedServerLogoutSuccessHandler,它实现了 RP-Initiated Logout,如下所示:

@Configuration
@EnableWebFluxSecurity
public class OAuth2LoginSecurityConfig {

@Autowired
private ReactiveClientRegistrationRepository clientRegistrationRepository;

@Bean
public SecurityWebFilterChain filterChain(ServerHttpSecurity http) throws Exception {
http
.authorizeExchange((authorize) -> authorize
.anyExchange().authenticated()
)
.oauth2Login(withDefaults())
.logout((logout) -> logout
.logoutSuccessHandler(oidcLogoutSuccessHandler())
);
return http.build();
}

private ServerLogoutSuccessHandler oidcLogoutSuccessHandler() {
OidcClientInitiatedServerLogoutSuccessHandler oidcLogoutSuccessHandler =
new OidcClientInitiatedServerLogoutSuccessHandler(this.clientRegistrationRepository);

// Sets the location that the End-User's User Agent will be redirected to
// after the logout has been performed at the Provider
oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}");

return oidcLogoutSuccessHandler;
}
}
java
备注

OidcClientInitiatedServerLogoutSuccessHandler 支持 {baseUrl} 占位符。如果使用,应用程序的基 URL(例如 [app.example.org](https://app.example.org))将在请求时替换它。

OpenID Connect 1.0 后通道登出

OpenID Connect 会话管理 1.0 允许通过让提供商向客户端发起 API 调用来注销终端用户。这被称为 OIDC 后通道登出

要启用此功能,您可以在DSL中设置Back-Channel Logout端点,如下所示:

@Bean
OidcBackChannelServerLogoutHandler oidcLogoutHandler() {
return new OidcBackChannelServerLogoutHandler();
}

@Bean
public SecurityWebFilterChain filterChain(ServerHttpSecurity http) throws Exception {
http
.authorizeExchange((authorize) -> authorize
.anyExchange().authenticated()
)
.oauth2Login(withDefaults())
.oidcLogout((logout) -> logout
.backChannel(Customizer.withDefaults())
);
return http.build();
}
java

就这样!

这将启动端点 /logout/connect/back-channel/{registrationId},OIDC 提供者可以通过该端点请求使应用程序中特定最终用户的会话失效。

备注

oidcLogout 要求也配置 oauth2Login

备注

oidcLogout 要求会话 cookie 被命名为 JSESSIONID,以便通过后通道正确注销每个会话。

Back-Channel Logout 架构

考虑一个标识符为 registrationIdClientRegistration

整体的Back-Channel注销流程如下:

  1. 在登录时,Spring Security 会在其 ReactiveOidcSessionRegistry 实现中将 ID 令牌、CSRF 令牌和 Provider 会话 ID(如果有)与应用程序的会话 ID 关联起来。

  2. 然后在注销时,你的 OIDC 提供商会向 /logout/connect/back-channel/registrationId 发起一个 API 调用,其中包含一个 Logout 令牌,该令牌指示要注销的 sub(最终用户)或 sid(Provider 会话 ID)。

  3. Spring Security 会验证令牌的签名和声明。

  4. 如果令牌包含 sid 声明,则只有与该提供商会话关联的客户端会话会被终止。

  5. 否则,如果令牌包含 sub 声明,则该最终用户的该客户端的所有会话都将被终止。

备注

请记住,Spring Security 的 OIDC 支持是多租户的。这意味着它只会终止那些 Client 与 Logout Token 中的 aud 声明相匹配的会话。

自定义会话登出端点

发布了 OidcBackChannelServerLogoutHandler 后,会话注销端点为 {baseUrl}/logout/connect/back-channel/{registrationId}

如果 OidcBackChannelServerLogoutHandler 未连接,则 URL 为 {baseUrl}/logout/connect/back-channel/{registrationId},这不推荐,因为它需要传递一个 CSRF 令牌,这根据应用程序使用的存储库类型可能会具有挑战性。

如果您需要自定义端点,可以按如下方式提供 URL:

http
// ...
.oidcLogout((oidc) -> oidc
.backChannel((backChannel) -> backChannel
.logoutUri("http://localhost:9000/logout/connect/back-channel/+{registrationId}+")
)
);

默认情况下,会话注销端点使用 JSESSIONID cookie 来关联会话到相应的 OidcSessionInformation

然而,Spring Session 中默认的cookie名称是 SESSION

您可以在DSL中配置Spring Session的cookie名称,如下所示:

@Bean
OidcBackChannelServerLogoutHandler oidcLogoutHandler(ReactiveOidcSessionRegistry sessionRegistry) {
OidcBackChannelServerLogoutHandler logoutHandler = new OidcBackChannelServerLogoutHandler(sessionRegistry);
logoutHandler.setSessionCookieName("SESSION");
return logoutHandler;
}

自定义 OIDC 提供程序会话注册表

默认情况下,Spring Security 会在内存中存储 OIDC 提供商会话与客户端会话之间的所有链接。

在某些情况下,比如集群应用程序中,最好将这些信息存储在其他位置,比如数据库中。

你可以通过配置一个自定义的 ReactiveOidcSessionRegistry 来实现这一点,如下所示:

@Component
public final class MySpringDataOidcSessionRegistry implements ReactiveOidcSessionRegistry {
private final OidcProviderSessionRepository sessions;

// ...

@Override
public Mono<void> saveSessionInformation(OidcSessionInformation info) {
return this.sessions.save(info);
}

@Override
public Mono<OidcSessionInformation> removeSessionInformation(String clientSessionId) {
return this.sessions.removeByClientSessionId(clientSessionId);
}

@Override
public Flux<OidcSessionInformation> removeSessionInformation(OidcLogoutToken token) {
return token.getSessionId() != null ?
this.sessions.removeBySessionIdAndIssuerAndAudience(...) :
this.sessions.removeBySubjectAndIssuerAndAudience(...);
}
}
java