|
此版本仍在开发中,尚不被认为是稳定的。对于最新的稳定版本,请使用 Spring Security 6.5.3! |
OIDC 注销
一旦最终用户能够登录到您的应用程序,就必须考虑他们将如何注销。
一般来说,有三个用例可供您考虑:
-
我只想执行本地注销
-
我想注销我的应用程序和由我的应用程序启动的 OIDC 提供程序
-
我想注销我的应用程序和由 OIDC 提供程序启动的 OIDC 提供程序
本地注销
要执行本地注销,不需要特殊的 OIDC 配置。
Spring Security 会自动建立一个本地注销端点,您可以通过logout()DSL的.
OpenID Connect 1.0 客户端启动的注销
OpenID Connect 会话管理 1.0 允许使用客户端注销提供商处的最终用户。 可用的策略之一是 RP 发起的注销。
如果 OpenID 提供程序同时支持会话管理和发现,则客户端可以获取end_session_endpoint URL从 OpenID 提供程序的发现元数据中。
您可以通过配置ClientRegistration使用issuer-uri如下:
spring:
security:
oauth2:
client:
registration:
okta:
client-id: okta-client-id
client-secret: okta-client-secret
...
provider:
okta:
issuer-uri: https://dev-1234.oktapreview.com此外,您应该配置OidcClientInitiatedLogoutSuccessHandler,它实现了 RP 发起的注销,如下所示:
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Autowired
private ClientRegistrationRepository clientRegistrationRepository;
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((authorize) -> authorize
.anyRequest().authenticated()
)
.oauth2Login(withDefaults())
.logout((logout) -> logout
.logoutSuccessHandler(oidcLogoutSuccessHandler())
);
return http.build();
}
private LogoutSuccessHandler oidcLogoutSuccessHandler() {
OidcClientInitiatedLogoutSuccessHandler oidcLogoutSuccessHandler =
new OidcClientInitiatedLogoutSuccessHandler(this.clientRegistrationRepository);
// Sets the location that the End-User's User Agent will be redirected to
// after the logout has been performed at the Provider
oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}");
return oidcLogoutSuccessHandler;
}
}@Configuration
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Autowired
private lateinit var clientRegistrationRepository: ClientRegistrationRepository
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeHttpRequests {
authorize(anyRequest, authenticated)
}
oauth2Login { }
logout {
logoutSuccessHandler = oidcLogoutSuccessHandler()
}
}
return http.build()
}
private fun oidcLogoutSuccessHandler(): LogoutSuccessHandler {
val oidcLogoutSuccessHandler = OidcClientInitiatedLogoutSuccessHandler(clientRegistrationRepository)
// Sets the location that the End-User's User Agent will be redirected to
// after the logout has been performed at the Provider
oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}")
return oidcLogoutSuccessHandler
}
}|
|
|
默认情况下, |
OpenID Connect 1.0 反向通道注销
OpenID Connect 会话管理 1.0 允许通过让提供程序对客户端进行 API 调用来注销客户端上的最终用户。 这称为 OIDC 反向通道注销。
要启用此功能,您可以在 DSL 中建立反向通道注销端点,如下所示:
-
Java
-
Kotlin
@Bean
OidcBackChannelLogoutHandler oidcLogoutHandler() {
return new OidcBackChannelLogoutHandler();
}
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((authorize) -> authorize
.anyRequest().authenticated()
)
.oauth2Login(withDefaults())
.oidcLogout((logout) -> logout
.backChannel(Customizer.withDefaults())
);
return http.build();
}@Bean
fun oidcLogoutHandler(): OidcBackChannelLogoutHandler {
return OidcBackChannelLogoutHandler()
}
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeHttpRequests {
authorize(anyRequest, authenticated)
}
oauth2Login { }
oidcLogout {
backChannel { }
}
}
return http.build()
}然后,您需要一种方法监听 Spring Security 发布的事件以删除旧的OidcSessionInformation条目,如下所示:
-
Java
-
Kotlin
@Bean
public HttpSessionEventPublisher sessionEventPublisher() {
return new HttpSessionEventPublisher();
}@Bean
open fun sessionEventPublisher(): HttpSessionEventPublisher {
return HttpSessionEventPublisher()
}这将使如果HttpSession#invalidate调用时,会话也会从内存中删除。
就是这样!
这将建立端点/logout/connect/back-channel/{registrationId}OIDC 提供程序可以请求使应用程序中最终用户的给定会话失效。
oidcLogout要求oauth2Login也要配置。 |
oidcLogout要求调用会话 cookieJSESSIONID以便通过反向通道正确注销每个会话。 |
反向通道注销架构
考虑一个ClientRegistration其标识符为registrationId.
后台通道注销的总体流程如下所示:
-
登录时,Spring Security 将 ID Tokens、CSRF Tokens和提供程序会话 ID(如果有)与应用程序的会话 ID 相关联。
OidcSessionRegistry实现。 -
然后,在注销时,您的 OIDC 提供程序会对
/logout/connect/back-channel/registrationId包括一个注销Tokens,该Tokens指示sub(最终用户)或sid(提供商会话 ID)注销。 -
Spring Security 验证Tokens的签名和声明。
-
如果Tokens包含
sidclaim,则只有与该提供程序会话相关的客户端会话才会终止。 -
否则,如果Tokens包含
subclaim,则该客户端对该最终用户的所有会话都将终止。
请记住,Spring Security 的 OIDC 支持是多租户的。
这意味着它只会终止客户端与aud声明。 |
该架构实现的一个值得注意的部分是,它为每个相应的会话在内部传播传入的反向通道请求。
最初,这似乎没有必要。
但是,请记住,Servlet API 不提供对HttpSession商店。
通过进行内部注销调用,现在可以使相应的会话失效。
此外,在内部伪造注销调用允许每组LogoutHandlers 针对该会话运行,并相应SecurityContext.
自定义会话注销端点
跟OidcBackChannelLogoutHandler已发布,会话注销端点为{baseUrl}/logout/connect/back-channel/{registrationId}.
如果OidcBackChannelLogoutHandler未连接,则 URL 是{baseUrl}/logout/connect/back-channel/{registrationId},不建议这样做,因为它需要传递 CSRF Tokens,这可能具有挑战性,具体取决于您的应用程序使用的存储库类型。
如果需要自定义终结点,可以按如下方式提供 URL:
-
Java
-
Kotlin
http
// ...
.oidcLogout((oidc) -> oidc
.backChannel((backChannel) -> backChannel
.logoutUri("http://localhost:9000/logout/connect/back-channel/+{registrationId}+")
)
);
http {
oidcLogout {
backChannel {
logoutUri = "http://localhost:9000/logout/connect/back-channel/+{registrationId}+"
}
}
}
自定义会话注销 Cookie 名称
默认情况下,会话注销端点使用JSESSIONIDcookie 将会话与相应的OidcSessionInformation.
但是,Spring Session 中的默认 cookie 名称是SESSION.
您可以在 DSL 中配置 Spring Session 的 cookie 名称,如下所示:
-
Java
-
Kotlin
@Bean
OidcBackChannelLogoutHandler oidcLogoutHandler(OidcSessionRegistry oidcSessionRegistry) {
OidcBackChannelLogoutHandler logoutHandler = new OidcBackChannelLogoutHandler(oidcSessionRegistry);
logoutHandler.setSessionCookieName("SESSION");
return logoutHandler;
}
@Bean
open fun oidcLogoutHandler(val sessionRegistry: OidcSessionRegistry): OidcBackChannelLogoutHandler {
val logoutHandler = OidcBackChannelLogoutHandler(sessionRegistry)
logoutHandler.setSessionCookieName("SESSION")
return logoutHandler
}
自定义 OIDC 提供程序会话注册表
默认情况下,Spring Security将OIDC Provider会话和Client会话之间的所有链接存储在内存中。
在许多情况下,例如群集应用程序,最好将其存储在单独的位置,例如数据库。
您可以通过配置自定义OidcSessionRegistry这样:
-
Java
-
Kotlin
@Component
public final class MySpringDataOidcSessionRegistry implements OidcSessionRegistry {
private final OidcProviderSessionRepository sessions;
// ...
@Override
public void saveSessionInformation(OidcSessionInformation info) {
this.sessions.save(info);
}
@Override
public OidcSessionInformation removeSessionInformation(String clientSessionId) {
return this.sessions.removeByClientSessionId(clientSessionId);
}
@Override
public Iterable<OidcSessionInformation> removeSessionInformation(OidcLogoutToken token) {
return token.getSessionId() != null ?
this.sessions.removeBySessionIdAndIssuerAndAudience(...) :
this.sessions.removeBySubjectAndIssuerAndAudience(...);
}
}@Component
class MySpringDataOidcSessionRegistry: OidcSessionRegistry {
val sessions: OidcProviderSessionRepository
// ...
@Override
fun saveSessionInformation(info: OidcSessionInformation) {
this.sessions.save(info)
}
@Override
fun removeSessionInformation(clientSessionId: String): OidcSessionInformation {
return this.sessions.removeByClientSessionId(clientSessionId);
}
@Override
fun removeSessionInformation(token: OidcLogoutToken): Iterable<OidcSessionInformation> {
return token.getSessionId() != null ?
this.sessions.removeBySessionIdAndIssuerAndAudience(...) :
this.sessions.removeBySubjectAndIssuerAndAudience(...);
}
}