由于注销请求中没有clientId,因此无法根据客户端的有效重定向URI列表验证URL,从而允许重定向到任意URL: https://idserver/auth/realms/realm/protocol/openid-connect/logout?redirect_uri=http%3A%2F%2Fattackers.website
此问题是否有解决方法或是否必须是代码修复?谢谢。
答案 0 :(得分:5)
您可以(并且应该)为领域中的每个客户注册“有效重定向URI”。如果你没有并指定ie“*”来允许任何URL,那么你所描述的内容就会发生。
尝试使用领域“master”注销(使用初始配置):您将收到错误消息“无效重定向uri”。