我已将 ADAL 库集成到我的 iOS 应用程序中,并且运行良好。但现在我想从 ADAL 中注销。我该如何注销?
4 回答
使用 ADAL 交互式流程时,有两个地方存储登录状态。第一个是完全由应用程序控制的令牌缓存。调用 [authContext.tokenCacheStore removeAllWithError:&error] 是清除所有缓存令牌并阻止 ADAL 在根本不启动浏览器的情况下登录的好方法。
但是,服务器也会在浏览器 cookie 中跟踪登录状态。服务器将记住用户已登录到服务器,直到 cookie 超时或被删除。当 ADAL 检查缓存并没有找到合适的令牌时,它将启动 webView。服务器会找到一个 cookie,然后让用户静默登录。浏览器 cookie 在很大程度上对 ADAL 隐藏。ADAL 库可能提供清除所有 cookie 的注销功能,但如果应用程序出于某种原因依赖于其他 cookie,这将产生副作用。
有几种方法可以解决这个问题。如果您只是想注销并且不介意清除所有 webView cookie,那么在清除缓存后,请按照此处所述清除所有浏览器 cookie:
这就是核选项。另一个更微妙的选择是清除缓存,然后在调用带有 ADPromptBehavior 参数的 aquireToken 时使用 AD_PROMPT_ALWAYS 值。当您使用 AD_PROMPT_ALWAYS 时,会向 AAD 发送一个标志,使其忽略 cookie 并向用户显示新的提示。这将 cookie 保留在适当的位置,因此从技术上讲,用户实际上并未退出。对用户而言,他们似乎已注销并且能够稍后再次登录。当他们再次登录时,他们可以根据需要选择其他用户。
这也是您处理多用户登录的方式。如果您已经有一个用户登录,但想要添加另一个用户,请不要清除缓存并在下一次调用acquireToken时传递AD_PROMPT_ALWAYS。服务器将显示一个新的登录提示并返回一个新令牌。该令牌将存储在该 ADAL 缓存中。您可以通过调用 acquireToken 并传递 userId 来获取特定用户的令牌。
这个 swift 3 代码对我有用(ADAL 2.5.1):
销毁密钥库:
guard let clientId = getAuthConfig().clientId else {
// freak out
print("Auth.logout: I freaked out getting the client ID ")
return
}
ADKeychainTokenCache.defaultKeychain().removeAll(forClientId: clientId, error: nil)
并清除 cookie:
let cookieJar = HTTPCookieStorage.shared
guard let cookies = cookieJar.cookies else { return }
let cookiesArr = Array(cookies)
for cookie: HTTPCookie in cookiesArr {
print(cookie.name)
if (cookie.name == "SignInStateCookie" || cookie.name == "ESTSAUTHPERSISTENT" || cookie.name == "ESTSAUTHLIGHT" || cookie.name == "ESTSAUTH" || cookie.name == "ESTSSC") {
cookieJar.deleteCookie(cookie)
}
}
Rich 出色答案的更新。首先,接口随着最新的 ADAL 版本发生了变化,您需要以这种方式访问令牌缓存:
#import <ADAL/ADKeychainTokenCache.h>
[...]
[[ADKeychainTokenCache defaultKeychainCache] removeAllForClientId:ADFS_CLIENT_ID error:&error];
为了清除 cookie,我建议只删除重要的,而不是全部清除:
NSHTTPCookieStorage *cookieJar = [NSHTTPCookieStorage sharedHTTPCookieStorage];
for (NSHTTPCookie *cookie in [cookieJar cookies]) {
if ([cookie.name isEqualToString:@"MSISAuth"] ||
[cookie.name isEqualToString:@"MSISAuthenticated"] ||
[cookie.name isEqualToString:@"MSISLoopDetectionCookie"]) {
[cookieJar deleteCookie:cookie];
}
}
(我发现 AD_PROMPT_ALWAYS 在较旧的 ADFS 安装上不起作用,并且被迫删除 cookie。)
基于最新版本更新:
没有我们可以控制的共享 cookie 并使我们能够将它们全部删除:
let cookieJar = HTTPCookieStorage.shared
if let cookies = cookieJar.cookies {
let cookiesArray = Array(cookies)
for cookie: HTTPCookie in cookiesArray {
if (cookie.name == "SignInStateCookie" ||
cookie.name == "ESTSAUTHPERSISTENT" ||
cookie.name == "ESTSAUTHLIGHT" ||
cookie.name == "ESTSAUTH" ||
cookie.name == "ESTSSC" ||
cookie.name == "MSISAuth" ||
cookie.name == "MSISAuthenticated" ||
cookie.name == "MSISLoopDetectionCookie" ) {
cookieJar.deleteCookie(cookie)
}
}
}
login
我找到的解决方案是在配置中选择提示类型MSALInteractiveTokenParameters
:
let webviewParameters = MSALWebviewParameters.init(authPresentationViewController: VC)
let parameters = MSALInteractiveTokenParameters(
scopes: scopes,
webviewParameters: webviewParameters
)
parameters.promptType = .login