OIDC 注销
一旦终端用户能够登录到您的应用程序,考虑他们如何登出就变得很重要了。
一般来说,有三种用例需要您考虑:
-
我只想执行本地登出
-
我想从我的应用程序和 OIDC 提供程序同时登出,由我的应用程序发起
-
我想从我的应用程序和 OIDC 提供程序同时登出,由 OIDC 提供程序发起
本地注销
要执行本地注销,不需要特殊的OIDC配置。Spring Security 会自动设置一个本地注销端点,你可以通过 logout() DSL进行配置。
OpenID Connect 1.0 客户端发起的注销
OpenID Connect 会话管理 1.0 允许使用 Client 在 Provider 处注销最终用户。可用的策略之一是 RP 发起的注销。
spring:
security:
oauth2:
client:
registration:
okta:
client-id: okta-client-id
client-secret: okta-client-secret
...
provider:
okta:
issuer-uri: https://dev-1234.oktapreview.com
另外,你应该配置 OidcClientInitiatedServerLogoutSuccessHandler
,它实现了 RP-Initiated Logout,如下所示:
- Java
- Kotlin
@Configuration
@EnableWebFluxSecurity
public class OAuth2LoginSecurityConfig {
@Autowired
private ReactiveClientRegistrationRepository clientRegistrationRepository;
@Bean
public SecurityWebFilterChain filterChain(ServerHttpSecurity http) throws Exception {
http
.authorizeExchange((authorize) -> authorize
.anyExchange().authenticated()
)
.oauth2Login(withDefaults())
.logout((logout) -> logout
.logoutSuccessHandler(oidcLogoutSuccessHandler())
);
return http.build();
}
private ServerLogoutSuccessHandler oidcLogoutSuccessHandler() {
OidcClientInitiatedServerLogoutSuccessHandler oidcLogoutSuccessHandler =
new OidcClientInitiatedServerLogoutSuccessHandler(this.clientRegistrationRepository);
// Sets the location that the End-User's User Agent will be redirected to
// after the logout has been performed at the Provider
oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}");
return oidcLogoutSuccessHandler;
}
}
@Configuration
@EnableWebFluxSecurity
class OAuth2LoginSecurityConfig {
@Autowired
private lateinit var clientRegistrationRepository: ReactiveClientRegistrationRepository
@Bean
open fun filterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
http {
authorizeExchange {
authorize(anyExchange, authenticated)
}
oauth2Login { }
logout {
logoutSuccessHandler = oidcLogoutSuccessHandler()
}
}
return http.build()
}
private fun oidcLogoutSuccessHandler(): ServerLogoutSuccessHandler {
val oidcLogoutSuccessHandler = OidcClientInitiatedServerLogoutSuccessHandler(clientRegistrationRepository)
// Sets the location that the End-User's User Agent will be redirected to
// after the logout has been performed at the Provider
oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}")
return oidcLogoutSuccessHandler
}
}
OidcClientInitiatedServerLogoutSuccessHandler
支持 {baseUrl}
占位符。如果使用,应用程序的基 URL(例如 [app.example.org](https://app.example.org)
)将在请求时替换它。
OpenID Connect 1.0 后通道登出
OpenID Connect 会话管理 1.0 允许通过让提供商向客户端发起 API 调用来注销终端用户。这被称为 OIDC 后通道登出。
要启用此功能,您可以在DSL中设置Back-Channel Logout端点,如下所示:
- Java
- Kotlin
@Bean
OidcBackChannelServerLogoutHandler oidcLogoutHandler() {
return new OidcBackChannelServerLogoutHandler();
}
@Bean
public SecurityWebFilterChain filterChain(ServerHttpSecurity http) throws Exception {
http
.authorizeExchange((authorize) -> authorize
.anyExchange().authenticated()
)
.oauth2Login(withDefaults())
.oidcLogout((logout) -> logout
.backChannel(Customizer.withDefaults())
);
return http.build();
}
@Bean
fun oidcLogoutHandler(): OidcBackChannelLogoutHandler {
return OidcBackChannelLogoutHandler()
}
@Bean
open fun filterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
http {
authorizeExchange {
authorize(anyExchange, authenticated)
}
oauth2Login { }
oidcLogout {
backChannel { }
}
}
return http.build()
}
就这样!
这将启动端点 /logout/connect/back-channel/{registrationId}
,OIDC 提供者可以通过该端点请求使应用程序中特定最终用户的会话失效。
oidcLogout
要求也配置 oauth2Login
。
oidcLogout
要求会话 cookie 被命名为 JSESSIONID
,以便通过后通道正确注销每个会话。
Back-Channel Logout 架构
考虑一个标识符为 registrationId
的 ClientRegistration
。
整体的Back-Channel注销流程如下:
-
在登录时,Spring Security 会在其
ReactiveOidcSessionRegistry
实现中将 ID 令牌、CSRF 令牌和 Provider 会话 ID(如果有)与应用程序的会话 ID 关联起来。 -
然后在注销时,你的 OIDC 提供商会向
/logout/connect/back-channel/registrationId
发起一个 API 调用,其中包含一个 Logout 令牌,该令牌指示要注销的sub
(最终用户)或sid
(Provider 会话 ID)。 -
Spring Security 会验证令牌的签名和声明。
-
如果令牌包含
sid
声明,则只有与该提供商会话关联的客户端会话会被终止。 -
否则,如果令牌包含
sub
声明,则该最终用户的该客户端的所有会话都将被终止。
请记住,Spring Security 的 OIDC 支持是多租户的。这意味着它只会终止那些 Client 与 Logout Token 中的 aud
声明相匹配的会话。
自定义会话登出端点
发布了 OidcBackChannelServerLogoutHandler
后,会话注销端点为 {baseUrl}/logout/connect/back-channel/{registrationId}
。
如果 OidcBackChannelServerLogoutHandler
未连接,则 URL 为 {baseUrl}/logout/connect/back-channel/{registrationId}
,这不推荐,因为它需要传递一个 CSRF 令牌,这根据应用程序使用的存储库类型可能会具有挑战性。
如果您需要自定义端点,可以按如下方式提供 URL:
- Java
- Kotlin
http
// ...
.oidcLogout((oidc) -> oidc
.backChannel((backChannel) -> backChannel
.logoutUri("http://localhost:9000/logout/connect/back-channel/+{registrationId}+")
)
);
http {
oidcLogout {
backChannel {
logoutUri = "http://localhost:9000/logout/connect/back-channel/+{registrationId}+"
}
}
}
自定义会话登出 Cookie 名称
默认情况下,会话注销端点使用 JSESSIONID
cookie 来关联会话到相应的 OidcSessionInformation
。
然而,Spring Session 中默认的cookie名称是 SESSION
。
您可以在DSL中配置Spring Session的cookie名称,如下所示:
- Java
- Kotlin
@Bean
OidcBackChannelServerLogoutHandler oidcLogoutHandler(ReactiveOidcSessionRegistry sessionRegistry) {
OidcBackChannelServerLogoutHandler logoutHandler = new OidcBackChannelServerLogoutHandler(sessionRegistry);
logoutHandler.setSessionCookieName("SESSION");
return logoutHandler;
}
@Bean
open fun oidcLogoutHandler(val sessionRegistry: ReactiveOidcSessionRegistry): OidcBackChannelServerLogoutHandler {
val logoutHandler = OidcBackChannelServerLogoutHandler(sessionRegistry)
logoutHandler.setSessionCookieName("SESSION")
return logoutHandler
}
自定义 OIDC 提供程序会话注册表
默认情况下,Spring Security 会在内存中存储 OIDC 提供商会话与客户端会话之间的所有链接。
在某些情况下,比如集群应用程序中,最好将这些信息存储在其他位置,比如数据库中。
你可以通过配置一个自定义的 ReactiveOidcSessionRegistry
来实现这一点,如下所示:
- Java
- Kotlin
@Component
public final class MySpringDataOidcSessionRegistry implements ReactiveOidcSessionRegistry {
private final OidcProviderSessionRepository sessions;
// ...
@Override
public Mono<void> saveSessionInformation(OidcSessionInformation info) {
return this.sessions.save(info);
}
@Override
public Mono<OidcSessionInformation> removeSessionInformation(String clientSessionId) {
return this.sessions.removeByClientSessionId(clientSessionId);
}
@Override
public Flux<OidcSessionInformation> removeSessionInformation(OidcLogoutToken token) {
return token.getSessionId() != null ?
this.sessions.removeBySessionIdAndIssuerAndAudience(...) :
this.sessions.removeBySubjectAndIssuerAndAudience(...);
}
}
@Component
class MySpringDataOidcSessionRegistry: ReactiveOidcSessionRegistry {
val sessions: OidcProviderSessionRepository
// ...
@Override
fun saveSessionInformation(info: OidcSessionInformation): Mono<Void> {
return this.sessions.save(info)
}
@Override
fun removeSessionInformation(clientSessionId: String): Mono<OidcSessionInformation> {
return this.sessions.removeByClientSessionId(clientSessionId);
}
@Override
fun removeSessionInformation(token: OidcLogoutToken): Flux<OidcSessionInformation> {
return token.getSessionId() != null ?
this.sessions.removeBySessionIdAndIssuerAndAudience(...) :
this.sessions.removeBySubjectAndIssuerAndAudience(...);
}
}