- 使用身份服务器 4
- Asp.Net 核心MVC客户端成功登录
-
从客户端注销时,在网址 https://identity.acme.com/connect/endsession 上出现错误....(下面列出了完整的网址)
"您要查找的资源已被删除、名称已更改或暂时不可用。">
帐户控制器.注销调用
await HttpContext.SignOutAsync("Cookies");
await HttpContext.SignOutAsync("oidc");
浏览器中的 URL 是:
https://identity.acme.com/connect/endsession?post_logout_redirect_uri=https%3A%2F%2Fadmin.acme.com%2Fsignout-callback-oidc&id_token_hint=eyJhbGciOiJSUzI1NiIsImtpZCI6IkQ1NjY2RURGQjNFM0M3MDdCNkJCRUFCNEU3NTU3Q0NDNTNBOTc2Q0IiLCJ0eXAiOiJKV1QiLCJ4NXQiOiIxV1p1MzdQanh3ZTJ1LXEwNTFWOHpGT3Bkc3MifQ.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.ifQJVB25rAB3HP30F9vtRvzLZ9dHjORHX7cKoG6SLLR3WqGzpoCkjnq10ijffjj2QbsvjxRPvsYPgbVxISwP04V79RFTHqZI7Z39vsBSZSGeJnkhQLXCvMs9i6F4-aiHR9dF3KTMCMOXFfiG0stG69vIMPckUHuTh5yT5a_nFSL4lebLb5AOpPHto8TtTy6SvFOGp7uyXw7d_KVQ3U9lo4RTYvPVePgq9bZf1DcaOL_gutj2EmHVrNc9kDIQRxK4rTbjx2kFrxD2LauEmh-OXTdzjOqtXLQF2jRwV4sGvPImiBOt75vLMlJJUP8B7sEm61bR50hfOqpycm46PO_awryxWGvqItjrYe8P0OQtuaQghCkesjToW4_OPHHQJIX2jXLN3i0SvfmPEB41pqmP73cKvCjMAMeCllfZ8pfRwzsbzvWKYZ2jZkF4CT6zQq4pEGblEl12yC-I59gqRYozhxz1hiPep4KkgHZ40VRjCR5LNu8Mmx2qp8B7xwyfzes1r7VnCeMJJd7LNqRRdE6mszj7vaZdvHb8n7UDud1hzktYLoVUENodCo4KrGuD7QwT28q8IK2sbtcK_98aLap2WeXcuDMsP5zbrGS2Vb3N4YezdqEU7YJjvk9tvdMdafTYe4LKNaq-cDHVnJh_pmXJsL6odwz9eXkddJBPzhHXf6M&state=CfDJ8Pr81inWVH5OlYUuWwOTfYygcAOv4qo4Jl03Su6yhd8WHQz8m-LK-vBDM8CjSBrqjNLz4Qdqx8759Wpts3AsgHnf997vKLyWqQSOgTQPOpy5qyouRMRmHEsk-h5BnQR4_SHIkzo5_kgJQ0xROmsqUD4Aq3o0zYd-rI-GYHiii7P_&x-client-SKU=ID_NET&x-client-ver=2.1.4.0
据我所知,这已经工作了好几个月。 我看不到代码中的任何更改会影响这一点,因此怀疑它是环境问题。
我已经打开了日志记录,/connect/endsession 甚至似乎没有被触发。 记录所有其他事件。
在开发中,它可以工作,日志记录显示正在调用的终结点:
Endpoint enabled: "Endsession", successfully created handler: "IdentityServer4.Endpoints.EndSessionEndpoint"
Request path "/connect/endsession" matched to endpoint type "Endsession"
客户端在 IdentityServer4 Configuration 中配置了正确的 PostLogoutRedirectUris.cs
PostLogoutRedirectUris =
{
"https://admin.acme.com/signout-callback-oidc"
},
有趣的是,如果我手动编辑 URL 以删除
post_logout_redirect_uri=https%3A%2F%2Fadmin.acme.com%2Fsignout-callback-oidc&
并提交,然后我已成功重定向到身份服务器到"注销"页面。
如果我删除
.AddOpenIdConnect("oidc", options =>
{
options.SignedOutRedirectUri = "https://admin.acme.com";
}
从启动.cs然后我可以成功从客户端注销(但是注销后不再有重定向)
谁能解释一下发生了什么?
更新 - 是URL长度问题吗?
- 我做了更多的调查
- 当我删除post_logout_redirect_uri=https%3a%2f%2fadmin.acme.com%2fsignout-callback-oidc&它并不总是有效 - 这是对我之前所说的澄清。
- 如果我从 state=xxxx 开始删除所有内容,那么 url 被接受,身份服务器运行并成功重定向回https://admin.acme.com/signout-callback-oidc但它缺少状态=xxxxx
然后,我可以将状态参数附加到重定向的 URL 并且该过程完成https://admin.acme.com/signout-callback-oidc?state=CfDJ8Pr81inWVH5OlYUuWwOTfYygcAOv4qo4Jl03Su6yhd8WHQz8m-LK-vBDM8CjSBrqjNLz4Qdqx8759Wpts3AsgHnf997vKLyWqQSOgTQPOpy5qyouRMRmHEsk-h5BnQR4_SHIkzo5_kgJQ0xROmsqUD4Aq3o0zYd-rI-GYHiii7P_&x-client-SKU=ID_NET&x-client-ver=2.1.4.0
网址(未更改)为 2135 个字符
- 我还通过将整个 url 中的一些字符缩短为 2095 个字符(取自 state=)并触发身份服务器进行了测试(但状态代码无效,因为我已更改它)
- 因此,每当 url 超过 2095 个字符时,它就会失败。
这让我怀疑这是否是服务器不接受长 url 的问题?
根据问题中概述的调试,我确定这似乎是 Url 长度的问题。
- 我遵循了本文 https://leastprivilege.com/2016/12/14/optimizing-identity-tokens-for-size/和本文 https://leastprivilege.com/2017/11/15/missing-claims-in-the-asp-net-core-2-openid-connect-handler/中的指导,本文 https://leastprivilege.com/2017/11/15/missing-claims-in-the-asp-net-core-2-openid-connect-handler/减少返回的声明数量,从而减少令牌的大小。
- 这导致问题消失了。
- 我仍然不知道为什么这突然停止工作(注意索赔的大小或数量没有改变)
一个积极的结果是,我必须更深入地了解身份服务器的工作原理,并且我设法显着优化了整体登录过程和速度,并改进了我的整体实施。
总之 - 这些是我所做的一些更改:
不要返回
IdentityServerConstants.StandardScopes.Profile
设置
AlwaysIncludeUserClaimsInIdToken = false
和使用
public async Task GetProfileDataAsync(ProfileDataRequestContext context)
提供您需要的声明(以及不返回我的客户未使用的声明)
我正在使用身份服务器 4 和 asp.net 核心进行测试,并面临 URL 长度的相同问题。我找到了一个可以提供帮助的替代方案。AddOpenIdConnect() 中有一个选项,您可以设置用于将用户代理重定向到身份提供程序的方法。 我将其设置为"FormPost",现在请求使用 POST 而不是 GET 来调用结束会话端点。
.AddOpenIdConnect("oidc", options =>
{
[...]
options.AuthenticationMethod = OpenIdConnectRedirectBehavior.FormPost;
}