OIDC 注销
当最终用户能够登录您的应用程序后,考虑他们如何注销也很重要。
一般来说,有三种用例需要您考虑
-
我只想执行本地注销
-
我想由我的应用程序发起,同时注销我的应用程序和 OIDC Provider
-
我想由 OIDC Provider 发起,同时注销我的应用程序和 OIDC Provider
本地注销
要执行本地注销,无需特殊的 OIDC 配置。Spring Security 会自动搭建一个本地注销端点,您可以通过 配置 logout() DSL 进行配置。
OpenID Connect 1.0 客户端发起注销
OpenID Connect 会话管理 1.0 允许使用客户端在 Provider 端注销最终用户。其中一种可用策略是 RP-Initiated Logout。
如果 OpenID Provider 同时支持会话管理和 Discovery,客户端可以从 OpenID Provider 的 Discovery Metadata 中获取 end_session_endpoint URL。您可以通过配置带有 issuer-uri 的 ClientRegistration 来实现,如下所示
spring:
security:
oauth2:
client:
registration:
okta:
client-id: okta-client-id
client-secret: okta-client-secret
...
provider:
okta:
issuer-uri: https://dev-1234.oktapreview.com此外,您还应配置实现 RP-Initiated Logout 的 OidcClientInitiatedLogoutSuccessHandler,如下所示
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Autowired
private ClientRegistrationRepository clientRegistrationRepository;
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.anyRequest().authenticated()
)
.oauth2Login(withDefaults())
.logout(logout -> logout
.logoutSuccessHandler(oidcLogoutSuccessHandler())
);
return http.build();
}
private LogoutSuccessHandler oidcLogoutSuccessHandler() {
OidcClientInitiatedLogoutSuccessHandler oidcLogoutSuccessHandler =
new OidcClientInitiatedLogoutSuccessHandler(this.clientRegistrationRepository);
// Sets the location that the End-User's User Agent will be redirected to
// after the logout has been performed at the Provider
oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}");
return oidcLogoutSuccessHandler;
}
}@Configuration
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Autowired
private lateinit var clientRegistrationRepository: ClientRegistrationRepository
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeHttpRequests {
authorize(anyRequest, authenticated)
}
oauth2Login { }
logout {
logoutSuccessHandler = oidcLogoutSuccessHandler()
}
}
return http.build()
}
private fun oidcLogoutSuccessHandler(): LogoutSuccessHandler {
val oidcLogoutSuccessHandler = OidcClientInitiatedLogoutSuccessHandler(clientRegistrationRepository)
// Sets the location that the End-User's User Agent will be redirected to
// after the logout has been performed at the Provider
oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}")
return oidcLogoutSuccessHandler
}
}|
|
OpenID Connect 1.0 后端通道注销
OpenID Connect 会话管理 1.0 允许 Provider 通过向客户端发起 API 调用来在客户端注销最终用户。这被称为 OIDC 后端通道注销。
要启用此功能,您可以在 DSL 中搭建后端通道注销端点,如下所示
-
Java
-
Kotlin
@Bean
OidcBackChannelLogoutHandler oidcLogoutHandler() {
return new OidcBackChannelLogoutHandler();
}
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((authorize) -> authorize
.anyRequest().authenticated()
)
.oauth2Login(withDefaults())
.oidcLogout((logout) -> logout
.backChannel(Customizer.withDefaults())
);
return http.build();
}@Bean
fun oidcLogoutHandler(): OidcBackChannelLogoutHandler {
return OidcBackChannelLogoutHandler()
}
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeRequests {
authorize(anyRequest, authenticated)
}
oauth2Login { }
oidcLogout {
backChannel { }
}
}
return http.build()
}然后,您需要一种方式来监听 Spring Security 发布的事件,以移除旧的 OidcSessionInformation 条目,如下所示
-
Java
-
Kotlin
@Bean
public HttpSessionEventPublisher sessionEventPublisher() {
return new HttpSessionEventPublisher();
}@Bean
open fun sessionEventPublisher(): HttpSessionEventPublisher {
return HttpSessionEventPublisher()
}这将使得如果在调用 HttpSession#invalidate 后,该会话也会从内存中移除。
就是这样!
这将搭建端点 /logout/connect/back-channel/{registrationId},OIDC Provider 可以通过请求此端点来使您应用程序中给定最终用户的会话失效。
oidcLogout 要求 oauth2Login 也已配置。 |
oidcLogout 要求会话 cookie 必须命名为 JSESSIONID,以便通过后端通道正确注销每个会话。 |
后端通道注销架构
考虑一个标识符为 registrationId 的 ClientRegistration。
后端通道注销的整体流程如下
-
登录时,Spring Security 在其
OidcSessionRegistry实现中,将 ID 令牌、CSRF 令牌和 Provider 会话 ID(如有)关联到您应用程序的会话 ID。 -
然后,在注销时,您的 OIDC Provider 会向
/logout/connect/back-channel/registrationId发起 API 调用,并在其中包含一个 Logout Token,该令牌指示要注销的sub(最终用户)或sid(Provider 会话 ID)。 -
Spring Security 验证令牌的签名和声明。
-
如果令牌包含
sid声明,则只有与该 Provider 会话相关的客户端会话被终止。 -
否则,如果令牌包含
sub声明,则该最终用户的所有客户端会话都将被终止。
请记住,Spring Security 的 OIDC 支持是多租户的。这意味着它只会终止其 Client 与 Logout Token 中的 aud 声明匹配的会话。 |
这种架构实现中一个值得注意的部分是,它会为每个相应的会话在内部传播传入的后端通道请求。最初,这可能看起来不必要。但是,请记住 Servlet API 不提供对 HttpSession 存储的直接访问。通过进行内部注销调用,现在可以验证相应的会话。
此外,在内部伪造注销调用允许针对该会话和相应的 SecurityContext 运行每组 LogoutHandler。
自定义会话注销端点
发布 OidcBackChannelLogoutHandler 后,会话注销端点为 {baseUrl}/logout/connect/back-channel/{registrationId}。
如果未配置 OidcBackChannelLogoutHandler,则 URL 为 {baseUrl}/logout/connect/back-channel/{registrationId},不推荐使用此方式,因为它需要传递 CSRF 令牌,这可能会根据应用程序使用的仓库类型而具有挑战性。
如果您需要自定义端点,可以按如下方式提供 URL
-
Java
-
Kotlin
http
// ...
.oidcLogout((oidc) -> oidc
.backChannel((backChannel) -> backChannel
.logoutUri("http://localhost:9000/logout/connect/back-channel/+{registrationId}+")
)
);
http {
oidcLogout {
backChannel {
logoutUri = "http://localhost:9000/logout/connect/back-channel/+{registrationId}+"
}
}
}
自定义会话注销 Cookie 名称
默认情况下,会话注销端点使用 JSESSIONID cookie 将会话与相应的 OidcSessionInformation 关联起来。
然而,Spring Session 中的默认 cookie 名称是 SESSION。
您可以在 DSL 中配置 Spring Session 的 cookie 名称,如下所示
-
Java
-
Kotlin
@Bean
OidcBackChannelLogoutHandler oidcLogoutHandler(OidcSessionRegistry sessionRegistry) {
OidcBackChannelLogoutHandler logoutHandler = new OidcBackChannelLogoutHandler(oidcSessionRegistry);
logoutHandler.setSessionCookieName("SESSION");
return logoutHandler;
}
@Bean
open fun oidcLogoutHandler(val sessionRegistry: OidcSessionRegistry): OidcBackChannelLogoutHandler {
val logoutHandler = OidcBackChannelLogoutHandler(sessionRegistry)
logoutHandler.setSessionCookieName("SESSION")
return logoutHandler
}
自定义 OIDC Provider 会话注册表
默认情况下,Spring Security 在内存中存储 OIDC Provider 会话和客户端会话之间的所有链接。
在许多情况下,例如集群应用程序,最好将其存储在单独的位置,例如数据库中。
您可以通过配置自定义 OidcSessionRegistry 来实现此目的,如下所示
-
Java
-
Kotlin
@Component
public final class MySpringDataOidcSessionRegistry implements OidcSessionRegistry {
private final OidcProviderSessionRepository sessions;
// ...
@Override
public void saveSessionInformation(OidcSessionInformation info) {
this.sessions.save(info);
}
@Override
public OidcSessionInformation removeSessionInformation(String clientSessionId) {
return this.sessions.removeByClientSessionId(clientSessionId);
}
@Override
public Iterable<OidcSessionInformation> removeSessionInformation(OidcLogoutToken token) {
return token.getSessionId() != null ?
this.sessions.removeBySessionIdAndIssuerAndAudience(...) :
this.sessions.removeBySubjectAndIssuerAndAudience(...);
}
}@Component
class MySpringDataOidcSessionRegistry: OidcSessionRegistry {
val sessions: OidcProviderSessionRepository
// ...
@Override
fun saveSessionInformation(info: OidcSessionInformation) {
this.sessions.save(info)
}
@Override
fun removeSessionInformation(clientSessionId: String): OidcSessionInformation {
return this.sessions.removeByClientSessionId(clientSessionId);
}
@Override
fun removeSessionInformation(token: OidcLogoutToken): Iterable<OidcSessionInformation> {
return token.getSessionId() != null ?
this.sessions.removeBySessionIdAndIssuerAndAudience(...) :
this.sessions.removeBySubjectAndIssuerAndAudience(...);
}
}
