令人不安的场景是:用户退出应用程序,但他们的会话仍然有效,这样他们就可以重新登录而无需重新验证。下面的代码片段是需要为B2C会话行为配置的代码部分吗?
应用程序。UseRewriter (
new RewriteOptions().Add(
context =>
{
if (context.HttpContext.Request.Path == "/MicrosoftIdentity/Account/SignedOut")
{ context.HttpContext.Response.Redirect("/Home/Index"); }
}));
当您想让用户退出应用程序时,这是不够的清除应用程序的cookie或以其他方式结束会话用户。将用户重定向到Azure AD B2C以注销。如果你失败了为此,用户可能需要对您的应用程序进行重新身份验证无需再次输入凭据
登出端点可以接收一个可选的post_logout_redirect_uri参数,您可以在其中指定另一个URL,您的用户最终将被B2C重定向到该URL。这可以是任何资源的地址,例如,您的主页或您自己的页面显示"您已成功退出我们的服务";给用户的消息
post_logout_redirect_uri -用户成功登出后应重定向到的URL。如果不包含,Azure AD B2C将向用户显示一条通用消息。
有关更多详细信息,请参阅本文档,并检查此SO线程