Kentor.AuthServices 是否正确注销?
Is Kentor.AuthServices logging out correctly?
我正在使用 Kentor.AuthServices 为 SAML/SSO 身份验证实施服务提供商概念验证。该用例是一个信息亭风格的应用程序,许多不同的用户在注册我们的服务时可能会一个接一个地进行身份验证。
我遇到的问题如下:注销后,用户未按预期进行身份验证(User.Identity.IsAuthenticated == false)。但是,当下一个用户登录时,先前注销的用户无需输入凭据即可重新进行身份验证。这是预期的行为吗?如果是这样,是否有办法防止这种行为(除了手动转储 cookie 之外)?
最有可能发生的情况是您确实终止了 SP 上的本地会话。但是当您尝试再次登录时,Idp 仍然有一个活动会话并自动重新验证该会话。
要解决此问题,您需要使用单点注销。 AuthServices 从 0.17.0 开始支持它。要启用它,您需要配置服务证书(需要对注销消息进行签名)。当然,您的 Idp 必须支持它。检查 Idp 元数据中的注销端点。
我正在使用 Kentor.AuthServices 为 SAML/SSO 身份验证实施服务提供商概念验证。该用例是一个信息亭风格的应用程序,许多不同的用户在注册我们的服务时可能会一个接一个地进行身份验证。
我遇到的问题如下:注销后,用户未按预期进行身份验证(User.Identity.IsAuthenticated == false)。但是,当下一个用户登录时,先前注销的用户无需输入凭据即可重新进行身份验证。这是预期的行为吗?如果是这样,是否有办法防止这种行为(除了手动转储 cookie 之外)?
最有可能发生的情况是您确实终止了 SP 上的本地会话。但是当您尝试再次登录时,Idp 仍然有一个活动会话并自动重新验证该会话。
要解决此问题,您需要使用单点注销。 AuthServices 从 0.17.0 开始支持它。要启用它,您需要配置服务证书(需要对注销消息进行签名)。当然,您的 Idp 必须支持它。检查 Idp 元数据中的注销端点。