代码之家  ›  专栏  ›  技术社区  ›  MikeBaz - MSFT

如果清除了本地状态,什么可以允许Azure AD应用程序访问而不注销?

azure-active-directory
  •  0
  • MikeBaz - MSFT  · 技术社区  · 6 年前

    根据 https://docs.microsoft.com/en-us/azure/active-directory/develop/v1-protocols-openid-connect-code#send-a-sign-out-request

    当您希望将用户注销应用程序时,仅执行以下操作是不够的: 您还必须将用户重定向到的结束\u会话\u终结点 注销。如果您没有这样做,用户将能够 在不再次输入其凭据的情况下重新验证应用程序, AD终结点。

    所以,我的问题很简单:如果应用程序清除了所有的本地状态,那么当应用程序重新登录时,什么会告诉Azure AD有一个有效的单点登录会话?那里没有cookie,并且您在URL中没有发送任何指示登录会话的内容,那么在引用的场景中,Azure广告使用什么来确定这一点?

    0 回复  |  直到 6 年前
        1
  •  0
  •   astaykov    6 年前

    这就是Azure广告本身的SSO cookie。

    如果你仔细看看 the application models for Azure AD integration https://login.microsoftonline/[tenant_id|common]/ .. 终结点。此端点维护与用户代理的SSO会话。即使你注销了一个应用程序,azuread上的SSO仍然保留着。这就是为什么当你的应用程序稍后重定向用户登录时,他/她已经登录并且没有得到提示。

    这一点在文档的“隐藏”部分中有很好的描述- Configurable Token lifetimes Single sign-on session tokens 部分。不过,特性(可配置令牌生存期)本身是 去润滑的 而且将会是 退休 了

    推荐文章
    Daarwin  ·  AADSTS50011:请求中指定的回复url与为应用程序配置的回复url不匹配:“<AppId>”
    7 年前
    timeinvariant  ·  Word加载项:“代表”流中的签名无效
    7 年前
    Dan Mayor  ·  在没有oAuth的情况下根据Azure AD验证用户凭据
    7 年前
    Paul Angelno  ·  获取401:查询Azure AD Graph API的组终结点时未经授权的响应
    7 年前
    SanthiRam  ·  从Azure Powershell函数应用程序检索密钥vault机密时出错
    7 年前
    Thomas Segato  ·  简单ADAL。js示例-需要用户登录
    7 年前
    xaxa  ·  Azure:对外部用户的访问受限
    7 年前
    dododo  ·  蔚蓝色的Owin OpenId身份验证。添加了自定义声明。未调用AuthorizationCodeReceived
    7 年前
    Ariel Larisma  ·  如何在Visual Studio中运行Azure Powershell cmdlet
    7 年前
    Denise Mauldin  ·  如何从Angular 5检索Azure Active Directory设置键值
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号