3

我正在使用 Kentor.AuthServices 为 SAML/SSO 身份验证实施服务提供商概念验证。该用例是一个信息亭风格的应用程序,许多不同的用户在注册我们的服务时可能会在其上一个接一个地进行身份验证。

我遇到的问题如下:注销后用户未按预期进行身份验证(User.Identity.IsAuthenticated == false)。但是当下一个用户登录时,先前注销的用户会被重新验证,而无需输入凭据。这是预期的行为吗?如果是这样,有没有办法防止这种行为(除了手动转储 cookie)?

4

1 回答 1

4

最有可能发生的是您确实终止了 SP 上的本地会话。但是,当您尝试再次登录时,Idp 仍然有一个活动会话并自动重新验证该会话。

要解决这个问题,您需要使用 Single Logout。AuthServices 从 0.17.0 开始支持该功能。要启用它,您需要配置服务证书(需要对注销消息进行签名)。当然,您的 Idp 必须支持它。检查 Idp 元数据中的注销端点。

于 2016-03-10T22:03:02.133 回答