OIDC 注销

一旦最终用户能够登录到您的应用程序，就需要考虑他们如何注销。

一般来说，您需要考虑三种用例

我只想执行本地注销
我想注销我的应用程序和 OIDC 提供程序，由我的应用程序发起
我想注销我的应用程序和 OIDC 提供程序，由 OIDC 提供程序发起

本地注销

要执行本地注销，不需要特殊的 OIDC 配置。Spring Security 自动启动一个本地注销端点，您可以通过 logout() DSL 进行配置。

OpenID Connect 1.0 客户端发起的注销

OpenID Connect 会话管理 1.0 允许通过使用客户端在提供程序处注销最终用户。可用的策略之一是RP 发起的注销。

如果 OpenID 提供程序同时支持会话管理和发现，则客户端可以从 OpenID 提供程序的发现元数据中获取 end_session_endpoint URL。您可以通过使用 issuer-uri 配置 ClientRegistration 来实现，如下所示

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: okta-client-id
            client-secret: okta-client-secret
            ...
        provider:
          okta:
            issuer-uri: https://dev-1234.oktapreview.com

此外，您应该配置 OidcClientInitiatedServerLogoutSuccessHandler，它实现了 RP 发起的注销，如下所示

Java
Kotlin

@Configuration
@EnableWebFluxSecurity
public class OAuth2LoginSecurityConfig {

	@Autowired
	private ReactiveClientRegistrationRepository clientRegistrationRepository;

	@Bean
	public SecurityWebFilterChain filterChain(ServerHttpSecurity http) throws Exception {
		http
			.authorizeExchange((authorize) -> authorize
				.anyExchange().authenticated()
			)
			.oauth2Login(withDefaults())
			.logout((logout) -> logout
				.logoutSuccessHandler(oidcLogoutSuccessHandler())
			);
		return http.build();
	}

	private ServerLogoutSuccessHandler oidcLogoutSuccessHandler() {
		OidcClientInitiatedServerLogoutSuccessHandler oidcLogoutSuccessHandler =
				new OidcClientInitiatedServerLogoutSuccessHandler(this.clientRegistrationRepository);

		// Sets the location that the End-User's User Agent will be redirected to
		// after the logout has been performed at the Provider
		oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}");

		return oidcLogoutSuccessHandler;
	}
}

@Configuration
@EnableWebFluxSecurity
class OAuth2LoginSecurityConfig {
    @Autowired
    private lateinit var clientRegistrationRepository: ReactiveClientRegistrationRepository

    @Bean
    open fun filterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
        http {
            authorizeExchange {
                authorize(anyExchange, authenticated)
            }
            oauth2Login { }
            logout {
                logoutSuccessHandler = oidcLogoutSuccessHandler()
            }
        }
        return http.build()
    }

    private fun oidcLogoutSuccessHandler(): ServerLogoutSuccessHandler {
        val oidcLogoutSuccessHandler = OidcClientInitiatedServerLogoutSuccessHandler(clientRegistrationRepository)

        // Sets the location that the End-User's User Agent will be redirected to
        // after the logout has been performed at the Provider
        oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}")
        return oidcLogoutSuccessHandler
    }
}

OidcClientInitiatedServerLogoutSuccessHandler 支持 {baseUrl} 占位符。如果使用，则应用程序的基本 URL（例如 app.example.org）将在请求时替换它。

OpenID Connect 1.0 后端通道注销

OpenID Connect 会话管理 1.0 允许通过让提供程序向客户端发出 API 调用来在客户端处注销最终用户。这被称为OIDC 后端通道注销。

要启用此功能，您可以在 DSL 中启动后端通道注销端点，如下所示

Java
Kotlin

@Bean
public SecurityWebFilterChain filterChain(ServerHttpSecurity http) throws Exception {
    http
        .authorizeExchange((authorize) -> authorize
            .anyExchange().authenticated()
        )
        .oauth2Login(withDefaults())
        .oidcLogout((logout) -> logout
            .backChannel(Customizer.withDefaults())
        );
    return http.build();
}

@Bean
open fun filterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    http {
        authorizeExchange {
            authorize(anyExchange, authenticated)
        }
        oauth2Login { }
        oidcLogout {
            backChannel { }
        }
    }
    return http.build()
}

就是这样！

这将启动端点 /logout/connect/back-channel/{registrationId}，OIDC 提供程序可以请求它以使应用程序中最终用户的给定会话失效。

oidcLogout 需要 oauth2Login 也被配置。

oidcLogout 需要会话 Cookie 被称为 JSESSIONID，以便通过后端通道正确注销每个会话。

后端通道注销架构

考虑一个标识符为 registrationId 的 ClientRegistration。

后端通道注销的整体流程如下

在登录时，Spring Security 将 ID 令牌、CSRF 令牌和提供程序会话 ID（如果有）与其应用程序会话的 ID 相关联，在其 ReactiveOidcSessionRegistry 实现中。
然后在注销时，您的 OIDC 提供程序向 /logout/connect/back-channel/registrationId 发出 API 调用，其中包含一个注销令牌，该令牌指示要注销的 sub（最终用户）或 sid（提供程序会话 ID）。
Spring Security 验证令牌的签名和声明。
如果令牌包含 sid 声明，则仅终止与该提供程序会话相关的客户端会话。
否则，如果令牌包含 sub 声明，则终止该客户端对该最终用户的所有会话。

请记住，Spring Security 的 OIDC 支持是多租户的。这意味着它只会终止其客户端与注销令牌中的 aud 声明匹配的会话。

自定义 OIDC 提供程序会话注册表

默认情况下，Spring Security 在内存中存储 OIDC 提供程序会话和客户端会话之间所有链接。

在某些情况下，例如集群应用程序，将此信息存储在其他位置（例如数据库）会比较方便。

您可以通过配置自定义的ReactiveOidcSessionRegistry来实现此目的，如下所示：

Java
Kotlin

@Component
public final class MySpringDataOidcSessionRegistry implements ReactiveOidcSessionRegistry {
    private final OidcProviderSessionRepository sessions;

    // ...

    @Override
    public Mono<void> saveSessionInformation(OidcSessionInformation info) {
        return this.sessions.save(info);
    }

    @Override
    public Mono<OidcSessionInformation> removeSessionInformation(String clientSessionId) {
       return this.sessions.removeByClientSessionId(clientSessionId);
    }

    @Override
    public Flux<OidcSessionInformation> removeSessionInformation(OidcLogoutToken token) {
        return token.getSessionId() != null ?
            this.sessions.removeBySessionIdAndIssuerAndAudience(...) :
            this.sessions.removeBySubjectAndIssuerAndAudience(...);
    }
}

@Component
class MySpringDataOidcSessionRegistry: ReactiveOidcSessionRegistry {
    val sessions: OidcProviderSessionRepository

    // ...

    @Override
    fun saveSessionInformation(info: OidcSessionInformation): Mono<Void> {
        return this.sessions.save(info)
    }

    @Override
    fun removeSessionInformation(clientSessionId: String): Mono<OidcSessionInformation> {
       return this.sessions.removeByClientSessionId(clientSessionId);
    }

    @Override
    fun removeSessionInformation(token: OidcLogoutToken): Flux<OidcSessionInformation> {
        return token.getSessionId() != null ?
            this.sessions.removeBySessionIdAndIssuerAndAudience(...) :
            this.sessions.removeBySubjectAndIssuerAndAudience(...);
    }
}