IdentityServer4注销

Question

我遇到了一个问题，即我似乎无法注销Identity Server以首先显示确认。我从github下载了IdentityServer4的源代码，并在Models文件夹中找到了参数: LogoutRequest.cs，ShowSignOutPrompt。除了在注销时检查之外，IdentityServer中没有对它的引用。

在调试过程中，我发现它是假的。我不知道这应该在哪里设置，我已经检查了服务器和客户端的客户端配置选项，以及服务器启动时的选项。

我在客户端代码中找不到"ShowSignoutPrompt“的实例(我目前使用的是IdentityServer3 Owin混合客户端示例)。

以下是代码流:我们在默认布局中有一个按钮，它触发客户端的AccountController.Signout()：

public void Signout()
{
    Request.GetOwinContext().Authentication.SignOut();
}

从那时起，我不能确切地确定它是如何实现的，但它遇到的下一个点是IdentityServer的AccountController.Logout(string logoutId)。该方法构建注销提示视图(在AccountServices.BuildLogoutViewModelAsync中使用checks )并将其返回给用户的浏览器。只有当PostLogoutRedirectUri设置为“/signout- ShowSignoutPrompt -oidc”时，它才能正常工作而不将回调设置为false。我也不知道原因。

当用户在上面生成的视图上单击"yes“时，它将转到IdSrvr的AccountController.Logout(LogoutInputModel模型)。我正在尝试将该方法的最后一行从：

return View("LoggedOut", vm);

至：

return Redirect(vm.PostLogoutRedirectUri);

这里还有另一个问题，即使我在客户机配置上设置了PostRedirectUri也是空的(就这一点而言，Identity Server的客户机配置也有它)。

Answer 1

没有客户端属性来控制这一点。

注销时，客户端应用程序调用IdentityServer4 End Session Endpoint。

当客户端发送原始id_token时，可以绕过注销提示。这是作为id_token_hint参数传入的。

此外，它还指示注销请求是否已通过身份验证，因此不提示用户注销是安全的。

ShowSignoutPrompt指示是否应根据传递到结束会话端点的参数提示用户注销。源PDF

注意：如果您使用的是JavaScript OIDC-Client-JS库，'signoutRedirect‘方法将在内部检查id_token_hint参数或用户id_token，请参见_signoutStart method第354行。因此，如果您正在使用此库注销用户，并想要强制登出屏幕，则必须清除user.id_token。

_signoutStart()中的示例部分

_signoutStart(args = {}, navigator, navigatorParams = {}) {
    ...
    var id_token = args.id_token_hint || user && user.id_token;
    if (id_token) {
        Log.debug("Setting id_token into signout request");
        args.id_token_hint = id_token;
    }
    ...
}

更新：

如果您使用的是IdentityServer4版本2.x，则可以使用新的类ClientProperty来存储键-值对。在这里，您可以创建一个键"LogoffPromptRequired“和一个值"true”，用于客户端或IdentityServer实现，以确定是否需要注销屏幕。

Answer 2

我建议在客户端应用程序中实现提示符，然后在完成时重定向到endsession。