单点登录策略

Question

我一直在从事一个将基于spring云的微服务和MVC应用程序与SSO集成的项目。目前，我使用spring会话作为会话存储库服务。我的当前应用程序登录组件包含一个在后端创建会话的身份验证服务器，以及一个调用此类登录服务的前端客户端，它可以正常工作。但是，当我从其他应用程序注销时，我的当前策略是重定向到这个登录组件的注销页面，然后向后端服务发送一个ajax调用，将存储在会话存储库中的会话设置为过期。只有当用户成功地重定向到登录组件以注销时，此方法才有效。

我考虑直接从其他应用程序调用注销服务，而不是将所有注销请求重定向到登录组件，但是对于所有其他应用程序，我需要实现注销服务。

在SSO环境中，将使用什么一般策略来保证用户会话被注销，从而最大限度地减少为每个应用程序创建重复的注销服务？

Answer 1

如果我还记得(我不是SSO /联邦方面的专家)，在SSO生态系统中，身份提供者应该有一个‘会话参与者’的列表(参与当前会话的服务提供者)。

假设有三个服务提供者(A，B，c)为给定用户提供SSO。当用户登录A(向IDP发送注销请求)时，IDP应该向B和C(其他主动服务提供者)发送注销请求，后者需要使关联的会话无效，并向IDP返回一个注销响应。

完成后，IDP应该将注销响应发送到A。

围绕该流工作可能会导致联邦身份验证生态系统中的问题，在该生态系统中，您不控制所有联邦服务提供者。